配置托管资源池预置权限方案
更新时间:2024-12-20
AIHC 基于 IAM 策略授权,指的是百度智能云账号的管理员(或拥有系统管理员权限的子用户)通过多用户访问控制(IAM),将预定义的 AIHC 系统策略授予子用户/用户组,让其拥有百舸托管资源池的管理和使用权限,AIHC 系统策略授权将作用于所有地域下的全部集群。
本文将介绍 AIHC 基于 IAM 策略授权的流程及使用方法。
AIHC预置策略
您可以使用以下预设策略为子用户授予相关权限(算法工程师):
| 策略名称 | 策略描述 | 权限范围 |
|---|---|---|
| AIHCFullControl | 包括 AIHC 托管资源池、节点等资源的管理权限。 | 托管资源池的所有操作: 1. 网络:创建/编辑/删除/查看 2. 资源池&节点:创建/编辑/删除/查看 3. 队列:创建/编辑/删除/查看 4. 开发/训练/推理等负载:创建/查看/删除等 |
| CCEDevelopPolicy | CCE 开发管理策略 | CCE 集群、节点、节点组等集群级别资源的只读权限,以及 BCC、CDS、VPC、EIP、BLB、CCR 等相关云产品/服务的只读权限。不包括集群命名空间级别的权限。 |
| CCROperatePolicy | 个人版CCR运维操作权限 | 支持页面和接口的创建、更新和读取操作 |
| ECCROperateAccessPolicy | 运维操作企业版CCR权限 | 拥有企业版CCR只读权限和控制台全部操作权限,以及上传、下载镜像权限 |
| PFSReadAccessPolicy | 只读访问并行文件存储(PFS)的权限 | PFS实例只读操作 |
| BLSReadPolicy | 运维操作BLS的权限 | 除包含只读权限外,还可以编辑任务、启动/停止任务、编辑收集器、编辑收集器组、修改日志集、写入日志记录、修改索引、修改快速查询、修改投递任务、启停单个投递任务、批量启停投递任务; |
操作步骤
直接给子用户授权
您可以直接为子用户关联策略以获取策略包含的权限。
- 进入多用户访问控制控制台,选择左侧导航栏中的用户管理>子用户进入“子用户管理”列表页面。
- 选择目标子用户单击用户名进入用户详情页面。
- 单击“授权”操作,在“编辑权限”弹出框中勾选所需策略。
- 单击“确定”即可。
通过用户组给子用户授权
您可以将子用户添加至用户组,该子用户将自动获取该用户组所关联策略的权限。如需解除随组关联策略,仅需将子用户移出相应用户组即可。
- 进入多用户访问控制控制台,选择左侧导航栏中的组管理进入“组管理”列表页面。
- 选择目标用户组单击编辑进入编辑组页面。
- 在“编辑组”页面勾选所需策略以及添加对应子用户。
- 单击“确认”即可。