配置预置RBAC权限策略
更新时间:2026-05-06
百舸提供了对接资源池和资源队列 RBAC的授权模式,便于对子用户进行细粒度的访问权限控制。本文介绍如何为子用户配置RBAC权限,实现对百舸资源池和资源队列的权限控制。
声明
百舸AI计算平台对RBAC 权限管理声明如下:
-
禁止未完成RBAC权限授予的子用户访问资源池资源,请及时联系主账号完成RBAC授权,以免带来生产上的不便。
- 除AIHCAssetFullControPolicy权限策略外,被授予该权限的用户可以查看平台的公共资产(如公共数据集、预置镜像等),用户自定义资产(自定义数据集、用户上传模型等)受具体授予权限管控。
- 子用户将只拥有被指定授予的资源池或者资源队列的访问权限。
授权说明
-
只有如下账号/用户/角色,才能配置百舸的 RBAC 权限:
- 百度智能云主账号。
- 具有 AIHCFullControlPolicy 权限的 IAM 用户。
- 某具体资源池的管理员对资源池下所属队列拥有配置RBAC 权限的能力。
前提条件
- IAM 用户已完成 百舸侧的相关权限配置。
权限说明
百舸内置了三种级别的RBAC权限,如下所示:
| 角色名称 | 角色说明 | 依赖成员具备的IAM系统策略 | 权限范围 |
|---|---|---|---|
| 资源池管理员 | 运维管理资源池和队列的权限(不能创建/删除资源池和节点) | AIHCResourceOperatorPolicy | 资源池全局配置 查看资源池监控/工作负载/资源报表/变更记录等详情信息 关联绑定相关依赖产品(Cprom、PFS、子网等) 封锁资源池节点 创建队列 删除队列 编辑队列(调度策略、队列状态等) 管理队列(添加节点/移出节点/转让节点/封锁节点) 资源池成员管理(添加/移出资源池管理员) 队列成员管理(添加/移出队列管理员/队列算法开发成员) |
| 队列管理员 | 具备队列的管理权限以及添加队列成员(不支持创建/删除队列,不支持修改队列的配额) | AIHCDevelopPolicy | 查看队列详情/队列资源视图/队列节点列表/工作负载/队列成员/队列监控 使用队列的资源,在指定的队列进行算法开发(管理开发机、分布式训练以及推理服务等) |
| 队列内算法开发成员 | 具备在本队列内开发的权限,支持在队列内创建开发机、提交训练任务和部署推理服务 | AIHCDevelopPolicy | 使用队列的资源,在指定的队列进行算法开发(管理开发机、分布式训练以及推理服务等) |
需要同时配置IAM系统策略和百舸内部角色,权限才能生效。如需要设置用户A为资源池1的管理员,则首先需要在IAM系统中授予用户A
AIHCResourceOperatorPolicy系统策略,然后在资源池1中为用户A分配资源池管理员的角色.
配置IAM用户的RBAC授权
-
操作步骤
- 登陆百舸平台->进入资源池详情->成员管理->配置资源池管理员。
- 登陆百舸平台->进入队列详情->成员管理->配置队列管理员 & 队列内算法开发成员。
具体操作流程详情见文档
评价此篇文章