专属池使用Notebook 2.0的子账号权限配置
本文将介绍一下权限配置的细节,能够正常的使用ModelArts专属池(包括Notebook能力)+ECS节点+SFS存储+OBS的方案。
1. IAM权限配置
进入权限控制页面:
新建用户:
新建用户组:
新增特殊权限:
特殊权限是为了ModelArts的Notebook在使用专属池并挂载SFS时,使用子账号的token能够正常检查挂载路径是否存在。
具体的配置json如下:
{
"Version": "1.1",
"Statement": [
{
"Action": [
"sfsturbo:*:get*",
"sfsturbo:*:dataAction",
"vpc:*:get",
"vpc:*:list",
"dss:*:get",
"dss:*:list"
],
"Effect": "Allow"
}
]
}
配置用户组权限:
分别添加全局权限及区域级权限,配置方法如下:
全局权限就是OBS权限:可以直接配置“OBS OperateAccess”权限(即可以读写所有桶);也可以只配置“OBS Buckets Viewer”权限(即可以获取OBS桶列表),在给对应桶配置权限。
区域级权限是ModelArts权限,ECS权限和SFS权限。不用Notebook时配置“SFS Turbo ReadOnlyAccess”即可,需要时要配成刚刚创建的自定义权限。
配置完成后的权限如下:
之后配置对应组的用户:
2.OBS权限配置
创建一个具体的桶,找到桶权限。
使用“目录读写”模板,设置授权用户,并配置全部对象即可。
红框是日志下载所需的权限,如果不需要该功能,可以去掉
3.ModelArts配置
在ModelArts界面,配置可以使用的账号列表。注意,每次的配置只对当前region有效。
配额控制(使用工作空间):
如果需要进行额度限制,需要使用工作空间功能。先找运维人员打开白名单,然后就可以看到工作空间配置如截图:
选中后可以创建工作空间,选择可以使用的子账号并创建。
找到自己需要的工作空间,按需求配置各种额度即可。
注意!上面的工作空间配额控制策略还存在一些问题,主要有:
1.无法控制Notebook使用的EVS额度
2.如果需要限制子账号创建工作空间的权限,需要使用一个特殊的ModelArts权限配置。具体可以参考: https://bbs.huaweicloud.com/forum/forum.php?mod=viewthread&tid=105531
4.TODO
实际上可以把区域级的权限整合成一个权限配置json,这样一波就都搞定了。
由于时间有限,相应内容留给有兴趣的小伙伴尝试。
- 点赞
- 收藏
- 关注作者
评论(0)