权限管理(新)
更新时间:2025-01-16
百舸平台AIHC的授权体系融合了百度云访问控制(IAM)与平台基于角色的授权机制,为您提供灵活的多层次权限管理解决方案,满足多团队使用的权限管理需求
目前处于白名单开放阶段,如您希望试用,请联系您的售后支持同学进行服务开通
授权体系
百舸平台权限体系由百度云访问控制台IAM和百舸平台基于角色的授权共同组成。
- 基于 IAM 策略的授权,管理员对 IAM 子用户/用户组授予百舸平台的基本操作权限,更多信息请参见配置IAM预置权限策略。
- 百舸自研的基于角色的授权机制,管理员对 IAM 子用户授予对应的角色,满足不用角色的成员开发和管理的需求。
IAM权限说明
AIHC预置系统策略
| 策略名称 | 策略描述 |
|---|---|
| AIHCFullControlPolicy | 百舸平台完全控制策略,该策略为平台最高权限,推荐平台管理者使用。 |
| AIHCResourceOperatorPolicy | 资源池管理策略,支持资源池的全局配置管理、创建分配资源队列等(不支持创建/删除资源池和节点) |
| AIHCDevelopPolicy | 开发者策略。支持在指定的队列进行算法开发(管理开发机、分布式训练以及推理服务等)。 |
| AIHCAssetFullControPolicy | 百舸AI资产管理策略,支持创建管理数据集/模型/工具模版等 |
百舸内部角色说明
为满足AI开发和管理的需求,百舸平台定义了以下多种角色,以便团队根据内部分工为成员或账号分配合适的角色
| 角色名称 | 角色说明 | 依赖成员具备的IAM系统策略 |
|---|---|---|
| 资源池管理员 | 运维管理资源池和队列的权限(不能创建/删除资源池和节点) | AIHCResourceOperatorPolicy |
| 队列管理员 | 具备队列的管理权限以及添加队列成员(不支持创建/删除队列,不支持修改队列的配额) | AIHCDevelopPolicy |
| 队列内开发成员 | 具备在本队列内开发的权限,支持在队列内创建开发机、提交训练任务和部署推理服务 | AIHCDevelopPolicy |
需要同时配置IAM系统策略和百舸内部角色,权限才能生效。如需要设置用户A为资源池1的管理员,则首先需要在IAM系统中授予用户A
AIHCResourceOperatorPolicy系统策略,然后在资源池1中为用户A分配资源池管理员的角色.
配置步骤
IAM权限配置
直接给子用户授权
您可以直接为子用户关联策略以获取策略包含的权限。
- 进入多用户访问控制控制台,选择左侧导航栏中的用户管理>子用户进入“子用户管理”列表页面。
- 选择目标子用户单击用户名进入用户详情页面。
- 单击“授权”操作,在“编辑权限”弹出框中勾选所需策略。
- 单击确定即可。
通过用户组给子用户授权
您可以将子用户添加至用户组,该子用户将自动获取该用户组所关联策略的权限。如需解除随组关联策略,仅需将子用户移出相应用户组即可。
- 进入多用户访问控制控制台,选择左侧导航栏中的组管理进入“组管理”列表页面。
- 选择目标用户组单击编辑进入编辑组页面。
- 在“编辑组”页面勾选所需策略以及添加对应子用户。
- 单击确认即可。
百舸角色管理
为满足AI开发和管理的需求,百舸平台定义了以下多种角色,以便团队根据内部分工为成员或账号分配合适的角色:
授权用户/用户组为资源池管理员
仅支持具备平台管理员或者资源池管理员角色的用户执行此操作
- 登录百舸异构计算平台AIHC控制台。
- 进入通用资源池列表页面,点击资源池名称,进入资源池详情页面
- 在资源池详情-资源池成员管理模块,点击添加,进入添加成员的页面,支持授权用户或者用户组为资源池成员角色
- 单击确认即可。
授权用户/用户组为队列管理员/队列内开发成员
仅支持具备平台管理员、资源池管理员、该队列管理员角色的用户执行此操作
- 登录百舸异构计算平台AIHC控制台。
- 进入通用资源池列表页面,点击资源池名称,进入资源池详情页面
- 单击 队列管理,进入队列列表页面。
- 选择操作的队列,单击成员管理,进入添加成员的流程
- 选择需要添加的用户/用户组,设定对应的角色,支持队列管理员和队列内开发成员
- 单击确认即可。