示例流程 图1 给用户授予CBH权限流程 创建用户组并授权 在 IAM 控制台创建用户组，并授予 云堡垒机 的只读权限“CBH ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择云 堡垒机 ，进入CBH实例主界面，单击“购买云堡垒机”，尝试购买CBH实例，若提示权限不足，无法购买CBH实例（假设当前权限仅包含“CBH ReadOnlyAccess”），表示“CBH ReadOnlyAccess”生效。 在“服务列表”中选择除云堡垒机外（假设当前策略仅包含“CBH ReadOnlyAccess”）的任一服务，若提示权限不足，表示“CBH ReadOnlyAccess”已生效。

示例流程 图1 给用户授权VOD只读权限流程 创建用户组并授权 在IAM控制台创建用户组，并授予VOD只读权限“VOD ReadOnlyAccess”。 创建用户并加入用户组 在IAM控制台创建用户，并将其加入1中创建的用户组。 用户登录并验证权限 新创建的用户登录控制台，切换至授权区域，验证权限： 在“服务列表”中选择 视频点播 服务，进入“全局配置”界面，若提示权限不足，表示“VOD ReadOnlyAccess”已生效。 在“服务列表”中选择除弹性云服务器外的任一服务，若提示权限不足，表示“VOD ReadOnlyAccess”已生效。

支持的授权项 策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。 权限：允许或拒绝某项操作。 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。 表1 支持的只读权限授权项 权限 授权项 (Action) 查询节点任务详情 secmaster:node:taskQueueDetail 查询检索条件详情 secmaster:searchCondition:get 获取待办详情 secmaster:task:get 查询数据管道详情 secmaster:pipe:get 获取剧本详情 secmaster:playbook:get 获取流程的详情 secmaster:workflow:get 获取分类信息 secmaster:mapping:getClassifier 查询情报列表 secmaster:indicator:list 查询策略详情 secmaster:policy:get 获取资源导入模板 secmaster:resource:getTemplate 流程实例拓扑图 secmaster:workflow:getInstance 获取页面详情 secmaster:layout:getWizard 查询表详情 secmaster:table:get 下载基线检查模板 secmaster:baseline:downloadTemplate 查询用户指引 secmaster:guide:get 获取指标详情 secmaster:metric:get 导出告警 secmaster:alert:export 查询数据空间详情 secmaster:dataspace:get 查看指标结果 secmaster:metric:getResult 查看订购版本 secmaster:subscription:getVersion 获取资产连接详情 secmaster:connection:get 查询数据管道索引 secmaster:pipe:getIndex 获取剧本统计数据 secmaster:playbook:getStatistics 获取数据类详情 secmaster:dataclass:list 导出资源 secmaster:resource:export 获取剧本版本 secmaster:playbook:getVersion 获取布局字段详情 secmaster:layout:getField 获取剧本运行监控数据 secmaster:playbook:getMonitor 获取映射信息 secmaster:mapping:getMapper 导出流程 secmaster:workflow:export 导出剧本 secmaster:playbook:export 查询实例详情 secmaster:playbook:getInstance 查询语句结果 secmaster:adHocQuery:get 查看资源统计 secmaster:resource:getStatistics 获取情报详情 secmaster:indicator:get 查看报告 secmaster:report:get 下载事件模板 secmaster:incident:downloadTemplate 获取事件详情 secmaster:incident:get 查看资源同步状态 secmaster:resource:getSyncStatus 导出应急漏洞 secmaster:emergencyVulnerability:export 获取模块详情 secmaster:module:get 获取工作空间详情 secmaster:workspace:get 查询实例拓扑详情 secmaster:playbook:getInstanceTopology 获取字段详情 secmaster:dataclass:listFields 导出事件 secmaster:incident:export 获取分类映射数据源 secmaster:mapping:getDatasource 查询数据转移任务详情 secmaster:dataTransformation:get 查询分析脚本详情 secmaster:analysisScript:get 导出基线检查结果 secmaster:baseline:export 获取委托权限 secmaster:shipper:getDelegateAuth 获取漏洞组详情 secmaster:vulnerability:getGroup 获取类型详情 secmaster:dataclass:getType 下载漏洞模板 secmaster:vulnerability:downloadTemplate 查看委托 secmaster:agency:get 查询数据管道消费 secmaster:pipe:getConsumption 导出指标 secmaster:indicator:export 获取告警详情 secmaster:alert:get 下载告警模板 secmaster:alert:downloadTemplate 下载指标模板 secmaster:indicator:downloadTemplate 获取资源详情 secmaster:resource:get 查询告警模板详情 secmaster:alertRuleTemplate:get 获取资源拓扑 secmaster:resource:getRelations 获取用户偏好 secmaster:preference:get 查询告警模型详情 secmaster:alertRule:get 获取投递规则详情 secmaster:shipper:get 查询布局 secmaster:layout:get 查询数据转移任务指标 secmaster:dataTransformation:listMetrics 查询代码片段详情 secmaster:codeSegment:get 查询检索脚本详情 secmaster:retrieveScript:get 获取流程的版本详情 secmaster:workflow:getVersion 查询布局列表 secmaster:layout:list 查询漏洞类型列表 secmaster:vulnerability:listType 搜索用户偏好 secmaster:preference:list 获取布局字段列表 secmaster:layout:listFields 查询漏洞组列表 secmaster:vulnerability:listGroup 查询告警模型 secmaster:alertRule:list 导出漏洞组列表 secmaster:vulnerability:exportGroup 查询数据类列表 secmaster:dataclass:get 查询告警模型总览 secmaster:alertRule:listMetrics 列出应急漏洞 secmaster:emergencyVulnerability:list 列出指标结果 secmaster:metric:listResults 查询情报类型列表 secmaster:indicator:listTypes 获取事件的类型列表 secmaster:incident:listTypes 查询审核列表 secmaster:playbook:listApproves 查询待办列表 secmaster:task:list 查询告警模板 secmaster:alertRuleTemplate:list 查询策略列表 secmaster:policy:list 获取投递授权信息列表 secmaster:shipper:listAuthorizations 列出指标Hits结果 secmaster:metric:listHits 查询代码片段 secmaster:codeSegment:list 搜索分类映射列表 secmaster:mapping:list 查询映射列表 secmaster:mapping:listMappers 查询表总览 secmaster:table:listMetrics 查询类型列表 secmaster:dataclass:listTypes 查询检索条件列表 secmaster:searchCondition:list 查询数据分布直方图 secmaster:search:listHistograms 获取模块列表 secmaster:module:list 搜索事件列表 secmaster:incident:list 查询实例审计日志列表 secmaster:playbook:getInstanceAuditlog 查询字段列表 secmaster:dataclass:getField 获取布局类型列表 secmaster:layout:listBusinessTypes 查询工作空间列表 secmaster:workspace:list 告警转事件 secmaster:alert:batchOrders 列出资源 secmaster:resource:list 查询告警类别列表 secmaster:alert:listCategories 查询数据 secmaster:search:listLogs 获取剧本版本列表 secmaster:playbook:listVersions 列出报告 secmaster:report:list 查询流程列表 secmaster:workflow:list 查询表 secmaster:table:list 搜索对象关系列表 secmaster:dataobject:listRelation 获取剧本列表 secmaster:playbook:list 查询评论列表 secmaster:note:list 查看基线检查结果 secmaster:baseline:list 查询检索脚本 secmaster:retrieveScript:list 查询事件类别列表 secmaster:incident:listCategories 获取指标列表 secmaster:metric:list 获取分类映射函数 secmaster:mapping:listFunctions 目录列表查询 secmaster:catalogue:list 查询告警模板总览 secmaster:alertRuleTemplate:listMetrics 获取页面 secmaster:layout:listWizards 获取投递信息列表 secmaster:shipper:list 获取流程版本的列表 secmaster:workflow:listVersions 查询告警类型列表 secmaster:alert:listTypes 查询数据转移任务 secmaster:dataTransformation:list 查询数据空间列表 secmaster:dataspace:list 查询实例列表 secmaster:playbook:listInstances 查询分析脚本 secmaster:analysisScript:list 查询数据管道列表 secmaster:pipe:list 搜索告警列表 secmaster:alert:list 查询资产连接列表 secmaster:connection:list 查询节点信息列表 secmaster:node:list 获取组件详情 secmaster:component:get 获取采集解析器列表 secmaster:collectorParser:list 获取采集器连接详情 secmaster:collectorConnection:get 获取组件模板列表 secmaster:component:listTemplates 获取采集通道节点列表 secmaster:collectorChannel:listNodes 查询资产订阅配置 secmaster:cloudLog:listResourceConfig 获取采集通道分组列表 secmaster:collectorChannelGroup:list 获取采集节点列表 secmaster:collectorNode:list 获取采集通道详情 secmaster:collectorChannel:get 获取表数据消费信息 secmaster:table:getConsumption 获取采集通道实例列表 secmaster:collectorChannel:listInstances 获取组件列表 secmaster:component:list 导出分析脚本 secmaster:analysisScript:export 获取采集解析器详情 secmaster:collectorParser:get 获取云服务日志订阅配置 secmaster:collector:listConfig 获取组件运行节点列表 secmaster:component:listRunningNodes 获取组件历史版本的配置数据 secmaster:component:listConfigurationVersions 获取云服务日志订阅配置 secmaster:cloudLog:list 导出采集解析器 secmaster:collectorParser:export 获取采集器连接列表 secmaster:collectorConnection:list 获取采集通道列表 secmaster:collectorChannel:list 获取采集解析器模板列表 secmaster:collectorParser:listTemplates 获取组件配置列表 secmaster:component:listConfigurations 查询资源标签 secmaster:workspace:listTags 获取云服务日志订阅配置 secmaster:collector:listConfig 获取云服务日志订阅配置 secmaster:cloudLog:list 查询资产订阅配置 secmaster:cloudLog:listResourceConfig 获取采集解析器模板列表 secmaster:collectorParser:listTemplates 获取采集解析器列表 secmaster:collectorParser:list 导出采集解析器 secmaster:collectorParser:export 获取采集器连接列表 secmaster:collectorConnection:list 获取采集器连接详情 secmaster:collectorConnection:get 获取采集通道实例列表 secmaster:collectorChannel:listInstances 获取采集通道列表 secmaster:collectorChannel:list 获取采集通道详情 secmaster:collectorChannel:get 获取采集通道节点列表 secmaster:collectorChannel:listNodes 获取采集通道分组列表 secmaster:collectorChannelGroup:list 获取采集节点列表 secmaster:collectorNode:list 获取组件模板列表 secmaster:component:listTemplates 获取组件配置列表 secmaster:component:listConfigurations 获取组件详情 secmaster:component:get 获取组件列表 secmaster:component:list 获取组件历史版本的配置数据 secmaster:component:listConfigurationVersions 获取组件运行节点列表 secmaster:component:listRunningNodes 查询节点信息列表 secmaster:node:list 获取表数据消费信息 secmaster:table:getConsumption 导出分析脚本 secmaster:analysisScript:export 表2 支持的写权限授权项 权限 授权项 (Action) 批量删除策略 secmaster:policy:batchDelete 创建流程版本 secmaster:workflow:createVersion 修改管道字段 secmaster:pipe:updateSchema 更新布局 secmaster:layout:update 模拟告警模型 secmaster:alertRule:createSimulation 导入资源 secmaster:resource:import 设计表 secmaster:table:updateSchema 删除对象关系 secmaster:dataobject:deleteRelation 导入剧本 secmaster:playbook:import 更新资产连接 secmaster:connection:update 删除资产连接 secmaster:connection:delete 绑定情报类型与布局关联 secmaster:indicator:bindLayout 删除告警 secmaster:alert:delete 创建数据类 secmaster:dataclass:create 更新分类映射状态 secmaster:mapping:update 创建字段 secmaster:dataclass:createField 执行分析 secmaster:search:createAnalysis 创建委托 secmaster:agency:create 创建剧本 secmaster:playbook:create 投递挂起 secmaster:shipper:pause 启用告警模型 secmaster:alertRule:enable 校验流程的版本 secmaster:workflow:validate 更新代码片段 secmaster:codeSegment:update 更新数据转移任务 secmaster:dataTransformation:update 删除映射 secmaster:mapping:deleteMapper 删除检索脚本 secmaster:retrieveScript:delete 更新流程版本调试结果 secmaster:workflow:simulate 导入告警 secmaster:alert:import 同步资源 secmaster:resource:sync 更新剧本 secmaster:playbook:update 更新映射 secmaster:mapping:updateMapper 创建模块 secmaster:module:create 创建映射 secmaster:mapping:createMapper 复制分类映射 secmaster:mapping:copy 创建待办 secmaster:task:create 启用数据类类型 secmaster:dataclass:enableType 创建表 secmaster:table:create 创建报告 secmaster:report:create 导入事件 secmaster:incident:import 删除数据空间 secmaster:dataspace:delete 创建对象关系 secmaster:dataobject:createRelation 创建事件 secmaster:incident:create 绑定事件类型与布局的关联 secmaster:incident:bindLayout 删除数据管道 secmaster:pipe:delete 创建代码片段 secmaster:codeSegment:create 创建工作空间 secmaster:workspace:create 绑定漏洞类型与布局关联 secmaster:vulnerability:bindLayout 更新报告 secmaster:report:update 更新安全评分 secmaster:secureScore:update 删除用户偏好 secmaster:preference:delete 关闭查询操作 secmaster:adHocQuery:delete 批量删除资源 secmaster:resource:batchDelete 更新剧本版本 secmaster:playbook:updateVersion 创建页面 secmaster:layout:createWizard 更新用户偏好 secmaster:preference:update 更新检索条件 secmaster:searchCondition:update 删除工作空间 secmaster:workspace:delete 创建数据投递 secmaster:shipper:create 删除数据转移任务 secmaster:dataTransformation:delete 更新模块 secmaster:module:update 修改告警类型 secmaster:alert:updateType 删除布局字段 secmaster:layout:deleteField 修改告警模型 secmaster:alertRule:update 更新待办 secmaster:task:update 创建用户指引 secmaster:guide:create 删除告警模型 secmaster:alertRule:delete 创建剧本版本 secmaster:playbook:createVersion 更新数据空间 secmaster:dataspace:update 删除页面 secmaster:layout:deleteWizard 更新页面 secmaster:layout:updateWizard 删除数据管道消费 secmaster:pipe:deleteConsumption 节点监控 secmaster:node:monitor 创建检索脚本 secmaster:retrieveScript:create 投递授权 secmaster:shipper:createAuthorization 设置应急漏洞读取状态 secmaster:emergencyVulnerability:updateReadStatus 删除流程的版本 secmaster:workflow:deleteVersion 创建分析脚本 secmaster:analysisScript:create 锁止表 secmaster:table:createLock 克隆剧本版本 secmaster:playbook:copyVersion 操作流程实例 secmaster:workflow:operateInstance 绑定数据类类型与布局关联 secmaster:dataclass:bindLayout 新建节点 secmaster:node:create 删除评论 secmaster:note:delete 删除模块 secmaster:module:delete 删除流程 secmaster:workflow:delete 删除指标 secmaster:metric:delete 修改表 secmaster:table:update 更新策略 secmaster:policy:update 删除报告 secmaster:report:delete 创建指标 secmaster:metric:create 删除字段 secmaster:dataclass:deleteField 修改事件类型 secmaster:incident:updateType 更新布局字段 secmaster:layout:updateField 创建策略 secmaster:policy:create 删除漏洞类型 secmaster:vulnerability:deleteType 审核剧本 secmaster:playbook:approve 另存为模板 secmaster:layout:createTemplate 创建自定义数据类型 secmaster:dataclass:createType 删除分析脚本 secmaster:analysisScript:delete 启用/禁用告警类型 secmaster:alert:enableType 创建事件类型 secmaster:incident:createType 更新数据类 secmaster:dataclass:update 更新流程 secmaster:workflow:update 删除告警类型 secmaster:alert:deleteType 启动投递 secmaster:shipper:resume 删除分类映射 secmaster:mapping:delete 创建数据管道消费 secmaster:pipe:createConsumption 更新数据管道索引 secmaster:pipe:updateIndex 创建委托权限 secmaster:shipper:createDelegateAuth 启用数据转移任务 secmaster:dataTransformation:enable 删除检索条件 secmaster:searchCondition:delete 更新情报 secmaster:indicator:update 更新分类 secmaster:mapping:updateClassifier 执行analysis语句 secmaster:adHocQuery:create 删除数据类 secmaster:dataclass:delete 审核流程版本 secmaster:workflow:approveVersion 导入流程 secmaster:workflow:import 修改漏洞类型 secmaster:vulnerability:updateType 更新检索脚本 secmaster:retrieveScript:update 绑定告警类型与布局关联 secmaster:alert:bindLayout 删除剧本版本 secmaster:playbook:deleteVersion 更新数据管道 secmaster:pipe:update 更新自定义数据类型 secmaster:dataclass:updateType 创建情报 secmaster:indicator:create 停用数据转移任务 secmaster:dataTransformation:disable 修改节点任务状态 secmaster:node:updateTaskNodeStatus 创建数据管道 secmaster:pipe:create 创建布局 secmaster:layout:create 删除按需订单 secmaster:subscription:deletePostPaidOrder 删除分类 secmaster:mapping:deleteClassifier 更新流程的版本 secmaster:workflow:updateVersion 删除策略 secmaster:policy:delete 创建分类 secmaster:mapping:createClassifier 创建告警模型 secmaster:alertRule:create 创建漏洞类型 secmaster:vulnerability:createType 创建数据空间 secmaster:dataspace:create 解锁表 secmaster:table:deleteLock 批量更新资源 secmaster:resource:batchUpdate 创建按需订单 secmaster:subscription:createPostPaidOrder 更新事件 secmaster:incident:update 删除投递信息 secmaster:shipper:delete 更新指标 secmaster:metric:update 更新目录 secmaster:catalogue:update 创建流程 secmaster:workflow:create 重新投递 secmaster:shipper:retry 删除布局 secmaster:layout:delete 设置用户偏好 secmaster:preference:create 更新资源 secmaster:resource:update 更新工作空间 secmaster:workspace:update 导入指标 secmaster:indicator:import 创建评论 secmaster:note:create 删除表 secmaster:table:delete 创建告警 secmaster:alert:create 更新分析脚本 secmaster:analysisScript:update 操作剧本实例 secmaster:playbook:operateInstance 更新告警 secmaster:alert:update 更新字段 secmaster:dataclass:updateField 启用/禁用漏洞类型 secmaster:vulnerability:enableType 删除事件类型 secmaster:incident:deleteType 启用/禁用事件类型 secmaster:incident:enableType 创建布局字段 secmaster:layout:createField 创建告警类型 secmaster:alert:createType 停用告警模型 secmaster:alertRule:disable 删除情报 secmaster:indicator:delete 删除自定义数据类型 secmaster:dataclass:deleteType 授权处理 secmaster:shipper:handleAuthorization 导入基线检查结果 secmaster:baseline:import 创建包周期订单 secmaster:subscription:createPrePaidOrder 导入漏洞数据 secmaster:vulnerability:import 重新授权 secmaster:shipper:retryAuthorization 创建检索条件 secmaster:searchCondition:create 删除事件 secmaster:incident:delete 创建数据转移任务 secmaster:dataTransformation:create 删除代码片段 secmaster:codeSegment:delete 创建资产连接 secmaster:connection:create 删除剧本 secmaster:playbook:delete 删除采集器连接 secmaster:collectorConnection:delete 删除表数据消费 secmaster:table:deleteConsumption 创建采集器连接 secmaster:collectorConnection:create 创建采集解析器 secmaster:collectorParser:create 控制采集通道 secmaster:collectorChannel:createOperation 创建采集通道 secmaster:collectorChannel:create 保存云服务日志订阅配置 secmaster:collector:createConfig 导入分析脚本 secmaster:analysisScript:import 创建表数据消费 secmaster:table:createConsumption 删除节点信息 secmaster:node:delete 更新组件配置 secmaster:component:updateConfigurations 删除云服务日志订阅配置 secmaster:cloudLog:delete 删除采集通道 secmaster:collectorChannel:delete 更新节点信息 secmaster:node:update 删除采集通道分组 secmaster:collectorChannelGroup:delete 创建采集通道分组 secmaster:collectorChannelGroup:create 删除采集解析器 secmaster:collectorParser:delete 更新采集通道 secmaster:collectorChannel:update 保存云服务日志订阅配置 secmaster:cloudLog:create 更新采集器连接 secmaster:collectorConnection:update 更新采集通道分组列表 secmaster:collectorChannelGroup:update 设计表 secmaster:table:updateSchema 更新标签值 secmaster:workspace:updateTag 批量删除资源标签 secmaster:workspace:deleteTags 批量添加资源标签 secmaster:workspace:createTags 保存云服务日志订阅配置 secmaster:collector:createConfig 保存云服务日志订阅配置 secmaster:cloudLog:create 删除云服务日志订阅配置 secmaster:cloudLog:delete 创建采集解析器 secmaster:collectorParser:create 获取采集解析器详情 secmaster:collectorParser:get 删除采集解析器 secmaster:collectorParser:delete 创建采集器连接 secmaster:collectorConnection:create 更新采集器连接 secmaster:collectorConnection:update 删除采集器连接 secmaster:collectorConnection:delete 创建采集通道 secmaster:collectorChannel:create 删除采集通道 secmaster:collectorChannel:delete 更新采集通道 secmaster:collectorChannel:update 控制采集通道 secmaster:collectorChannel:createOperation 删除采集通道分组 secmaster:collectorChannelGroup:delete 更新采集通道分组列表 secmaster:collectorChannelGroup:update 创建采集通道分组 secmaster:collectorChannelGroup:create 更新组件配置 secmaster:component:updateConfigurations 删除节点信息 secmaster:node:delete 更新节点信息 secmaster:node:update 创建表数据消费 secmaster:table:createConsumption 删除表数据消费 secmaster:table:deleteConsumption 导入分析脚本 secmaster:analysisScript:import

严格授权模式 严格授权模式是指在IAM中创建的子账号必须由账号管理员显式在IAM中授权，才能访问ModelArts服务，管理员用户可以通过授权策略为普通用户精确添加所需使用的ModelArts功能的权限。 相对的，在非严格授权模式下，子账号不需要显式授权就可以使用ModelArts，管理员需要在IAM上为子账号配置Deny策略来禁止子账号使用ModelArts的某些功能。 账号的管理员用户可以在“权限管理”页面修改授权模式。 如无特殊情况，建议优先使用严格授权模式。在严格授权模式下，子账号要使用ModelArts的功能都需经过授权，可以更精确的控制子账号的权限范围，达成权限最小化的安全策略。

用工作空间限制资源访问 工作空间是ModelArts面向企业用户提供的一个高阶功能，用于进一步将用户的资源划分在多个逻辑隔离的空间中，并支持以空间维度进行访问的权限限定。 在开通工作空间后，系统会默认为您创建一个“default”空间，您之前所创建的所有资源，均在该空间下。当您创建新的工作空间之后，相当于您拥有了一个新的“ModelArts分身”，您可以通过菜单栏的左上角进行工作空间的切换，不同工作空间中的工作互不影响。 创建工作空间时，必须绑定一个企业项目。多个工作空间可以绑定到同一个企业项目，但一个工作空间不可以绑定多个企业项目。借助工作空间，您可以对不同用户的资源访问和权限做更加细致的约束，具体为如下两种约束： 只有被授权的用户才能访问特定的工作空间（在创建、管理工作空间的页面进行配置），这意味着，像数据集、算法等AI资产，均可以借助工作空间做访问的限制。 在前文提到的权限授权操作中，如果“选择授权范围方案”时设定为“指定企业项目资源”，那么该授权仅对绑定至该企业项目的工作空间生效。 工作空间的约束与权限授权的约束是叠加生效的，意味着对于一个用户，必须同时拥有工作空间的访问权和训练任务的创建权限（且该权限覆盖至当前的工作空间），他才可以在这个空间里提交训练任务。 对于已经开通企业项目但没有开通工作空间的用户，其所有操作均相当于在“default”企业项目里进行，请确保对应权限已覆盖了名为default的企业项目。 对于未开通企业项目的用户，不受上述约束限制。

ModelArts权限管理 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于授予的权限对云服务进行操作。 ModelArts部署时通过物理区域划分，为项目级服务，授权时“选择授权范围方案”可以选择“指定区域项目资源”，如果授权时指定了区域（如华北-北京4）对应的项目（cn-north-4），则该权限仅对此项目生效；简单的做法是直接选择“所有资源”。 ModelArts也支持企业项目，所以选择授权范围方案时，也可以指定企业项目。具体操作参见《创建用户组并授权》。 IAM在对用户组授权的时候，并不是直接将具体的某个权限进行赋权，而是需要先将权限加入到“策略”当中，再把策略赋给用户组。为了方便用户的权限管理，各个云服务都提供了一些预置的“系统策略”供用户直接使用。如果预置的策略不能满足您的细粒度权限控制要求，则可以通过“自定义策略”来进行精细控制。 表1列出了ModelArts的所有预置系统策略。 表1 ModelArts系统策略 策略名称 描述 类型 ModelArts FullAccess ModelArts管理员用户，拥有所有ModelArts服务的权限 系统策略 ModelArts CommonOperations ModelArts操作用户，拥有所有ModelArts服务操作权限除了管理专属资源池的权限 系统策略 ModelArts Dependency Access ModelArts服务的常用依赖服务的权限 系统策略 通常来讲，只给管理员开通“ModelArts FullAccess”，如果不需要太精细的控制，直接给所有用户开通“ModelArts CommonOperations”即可满足大多数小团队的开发场景诉求。如果您希望通过自定义策略做深入细致的权限控制，请阅读ModelArts的IAM权限控制详解。 ModelArts的权限不会凌驾于其他服务的权限之上，当您给用户进行ModelArts赋权时，系统不会自动对其他相关服务的相关权限进行赋权。这样做的好处是更加安全，不会出现预期外的“越权”，但缺点是，您必须同时给用户赋予不同服务的权限，才能确保用户可以顺利完成某些ModelArts操作。 举例，如果用户需要用OBS中的数据进行训练，当已经为IAM用户配置ModelArts训练权限时，仍需同时为其配置对应的OBS权限（读、写、列表），才可以正常使用。其中OBS的列表权限用于支持用户从ModelArts界面上选择要进行训练的数据路径；读权限主要用于数据的预览以及训练任务执行时的数据读取；写权限则是为了保存训练结果和日志。 对于个人用户或小型组织，一个简单做法是为IAM用户配置“作用范围”为“全局级服务”的“Tenant Administrator”策略，这会使用户获得除了IAM以外的所有用户权限。在获得便利的同时，由于用户的权限较大，会存在相对较大的安全风险，需谨慎使用。（对于个人用户，其默认IAM账号就已经属于admin用户组，且具备Tenant Administrator权限，无需额外操作） 当您需要限制用户操作，仅为ModelArts用户配置OBS相关的最小化权限项，具体操作请参见OBS权限管理。对于其他云服务，也可以进行精细化权限控制，具体请参考对应的云服务文档。

理解ModelArts的权限与委托 图1 权限管理抽象 ModelArts与其他服务类似，功能都通过IAM的权限来进行控制。比如，用户（此处指IAM子账号，而非租户）希望在ModelArts创建训练作业，则该用户必须拥有 "modelarts:trainJob:create" 的权限才可以完成操作（无论界面操作还是API调用）。关于如何给一个用户赋权（准确讲是需要先将用户加入用户组，再面向用户组赋权），可以参考IAM的文档《权限管理》。 而ModelArts还有一个特殊的地方在于，为了完成AI计算的各种操作，AI平台在任务执行过程中需要访问用户的其他服务，典型的就是训练过程中，需要访问OBS读取用户的训练数据。在这个过程中，就出现了ModelArts“代表”用户去访问其他云服务的情形。从安全角度出发，ModelArts代表用户访问任何云服务之前，均需要先获得用户的授权，而这个动作就是一个“委托”的过程。用户授权ModelArts再代表自己访问特定的云服务，以完成其在ModelArts平台上执行的AI计算任务。 综上，对于图1 权限管理抽象可以做如下解读： 用户访问任何云服务，均是通过标准的IAM权限体系进行访问控制。用户首先需要具备相关云服务的权限（根据您具体使用的功能不同，所需的相关服务权限亦有差异）。 权限：用户使用ModelArts的任何功能，亦需要通过IAM权限体系进行正确权限授权。 委托：ModelArts上的AI计算任务执行过程中需要访问其他云服务，此动作需要获得用户的委托授权。

授权 为了保证各类数据的安全性，满足用户自定义开发数据对象或功能授权的需求，xDM-F提供基于数据对象和操作的授权功能。您可以通过授权功能将参与者、搜索服务定义/具有“权限管理”功能的数据模型及操作类型进行关联，并将这组关系配置到策略集，提升模型维护效率，方便用户维护系统权限、数据流转等操作。 根据授权维度的不同，xDM-F的授权分为静态授权和动态授权。 表2 授权类型 类型 说明 静态授权 即实体授权，是对搜索服务定义/具有“权限管理”功能的数据模型的权限处理，基于数据模型维度所设置的权限，将影响至此数据模型所有的 数据实例 。 更多关于实体授权的操作请参见授权。 动态授权 即实例授权，是对具有“权限管理”功能的数据实例的精细化权限处理，可以为参与者基于某一个确定的数据实例进行权限设置，常见于工作流审批等需要临时为参与者设置数据权限等场景。 更多关于实例授权的操作请参见管理数据实例授权。

参与者 参与者一般指的是在系统之外与系统交互的某人或某角色，在xDM-F中，参与者指的是对搜索服务定义、“权限管理”功能的数据模型与其数据实例等操作的某人或某角色。xDM-F当前提供如表1所示的参与者类型。 表1 参与者类型 类型 说明 团队角色 指一个人在团队中某一职位上应该承担的责任，例如某业务团队的业务经理、业务组长、业务人员和业务代表。 一个团队可以引用多个团队角色，一个团队角色可以被多个团队引用。 只有被引用的团队角色才可以在团队中为该团队角色添加角色成员。 群组 指将用户按照子公司、部门、项目等维度划分为不同的群组，使群组下的全部用户获得相应的权限，方便统一权限管理。 全局角色 指用于管理xDM-F全局功能的操作权限或者某个子模块最高权限的角色，例如超级管理员、系统管理员、安全管理员、质量管理员、数据源管理员等。 虚拟角色 xDM-F在团队角色中预置了所有人、拥有者和团队成员三种虚拟角色。 所有人：指应用下的所有用户，即“XDMUser”数据实体的所有数据实例。 拥有者：指数据实例的所有者，即创建某个数据实例时指定的所有者。 团队成员：指某个团队下的某个用户。例如某医院的护士团队、急诊医生团队、外科医生团队等，每个团队中均存在临时员工。此时，您可以通过该虚拟角色动态授权/鉴权。 用户 指应用下的个体成员，即“XDMUser”数据实体创建的数据实例。

CNAD FullAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cnad:*:*" ] } ] }

CNAD ReadOnlyAccess策略内容 { "Version": "1.1", "Statement": [ { "Effect": "Allow", "Action": [ "cnad:*:get*", "cnad:*:list*" ] } ] }

CNAD权限 默认情况下，管理员创建的IAM用户没有任何权限，需要将其加入用户组，并给用户组授予策略或角色，才能使得用户组中的用户获得对应的权限，这一过程称为授权。授权后，用户就可以基于被授予的权限对云服务进行操作。 CNAD部署时不区分物理区域，为全局级服务。授权时，在全局级服务中设置权限，访问CNAD时，不需要切换区域。 根据授权精细程度分为角色和策略。 角色：IAM最初提供的一种根据用户的工作职能定义权限的粗粒度授权机制。该机制以服务为粒度，提供有限的服务相关角色用于授权。由于华为云各服务之间存在业务依赖关系，因此给用户授予角色时，可能需要一并授予依赖的其他角色，才能正确完成业务。角色并不能满足用户对精细化授权的要求，无法完全达到企业对权限最小化的安全管控要求。 策略：IAM最新提供的一种细粒度授权的能力，可以精确到具体服务的操作、资源以及请求条件等。基于策略的授权是一种更加灵活的授权方式，能够满足企业对权限最小化的安全管控要求。例如：针对CNAD服务，管理员能够控制IAM用户仅能对某一类云服务器资源进行指定的管理操作。多数细粒度策略以API接口为粒度进行权限拆分，CNAD支持的授权项请参见CNAD权限及授权项。 如表1所示，包括了CNAD的所有系统角色。 表1 CNAD系统角色 系统角色/策略名称 描述 类别 依赖关系 CNAD FullAccess DDoS原生高级防护所有权限。 系统策略 进行付费操作（例如，购买DDoS原生高级防护实例）时需要同时具有CNAD FullAccess和BSS Administrator角色，或者具有Tenant Administrator角色。 CNAD ReadOnlyAccess DDoS原生高级防护只读权限。 系统策略 无。

操作步骤 方式一：联系主账号进行委托授权。委托授权仅需操作一次，因此若主账号授权了，则IAM用户不再需要进行委托开通。 方式二：请联系主账号给该IAM用户添加Security Administrator权限，添加后该子用户方可进行委托开通操作。 进入 统一身份认证 服务，如图1所示。 图1 统一身份认证服务入口 进入用户组，选择该用户所在的一个用户组，单击【授权】，如图2所示。 图2 用户组列表 选择权限授权，在右侧搜索框中输入“Security Administrator”搜索并勾选，单击“下一步”，如图3所示。 图3 授权 选择区域。 使用默认的“所有资源”，单击“确定”，如图4所示。 图4 授权

响应参数 状态码： 200 表2 响应Body参数 参数 参数类型 描述 result AccountStatus object 返回值 status String 状态 表3 AccountStatus 参数 参数类型 描述 cur_org_create_role Boolean 是否有创建实例权限 cur_org_open Boolean 账号所属租户是否开通服务 has_free_trial Boolean 免费试用 show_manage Boolean 是否有管理入口的权限 状态码： 403 表4 响应Body参数 参数 参数类型 描述 error_msg String 错误描述 error_code String 错误码 状态码： 404 表5 响应Body参数 参数 参数类型 描述 error_msg String 错误描述 error_code String 错误码 状态码： 406 表6 响应Body参数 参数 参数类型 描述 error_msg String 错误描述 error_code String 错误码 状态码： 500 表7 响应Body参数 参数 参数类型 描述 error_msg String 错误描述 error_code String 错误码

使用流程 您可通过图1了解统一权限治理的使用流程。 图1 访问权限管理使用流程图 访问权限管理支持数据权限管控、服务资源管控和Ranger权限管理，流程介绍如下： 数据权限管控流程 授权dlg_agency委托 由于数据安全使用委托时，所需的云服务权限更高。因此在使用数据安全前，需要提前为dlg_agency委托授予相关权限。 检查集群版本与权限 统一权限治理对数据连接Agent、数据源版本和用户权限等均有相应的要求。在使用前，您应先检查并准备相关配置。 同步IAM用户到数据源 将IAM上的用户信息同步到数据源，以实现不同用户访问数据源时，能够根据其自身用户信息管控用户访问数据的权限。 配置空间权限集 空间权限集作为 DataArts Studio 工作空间内的最大权限集合，主要用于确定整个工作空间用户可访问的权限范围。 配置权限集 权限集将用户与权限直接关联，可以新建多个用于给不同使用场景的用户关联不同的权限，可通过权限同步进行权限管控（实际使用时，更推荐通过权限集关联角色进行权限管控）。 配置通用角色 配置通用角色即在数据源上创建新角色，用于承载用户和权限之间的关联关系，可以更加直观地管理权限关系、进行权限管控。 配置纳管角色 配置纳管角色即为纳管 MRS 数据源上已有的角色，并继承已有角色的MRS数据源权限。 配置行级访问控制 数据安全支持成员管理视图，支持查看当前工作空间内成员的权限，并进行角色/权限集管理。 同步MRS Hive和Hetu权限 数据安全支持成员管理视图，支持查看当前工作空间内成员的权限，并进行角色/权限集管理。 申请权限 进行访问权限管理时，除了可以自上而下地通过权限集/角色方式为用户授权外，也支持自下而上的用户权限申请、审批流程。 审批权限 审批人来自权限集/角色的管理员，权限审批后即刻生效。 启用细粒度认证 配置细粒度认证后，在DataArts Studio数据开发执行脚本、测试运行作业或调度作业时，数据源将不再使用数据连接上的账号，而是使用当前用户身份认证鉴权，从而做到实现不同用户具有不同的数据权限，使角色/权限集或队列权限中的权限管控生效。 服务资源管控流程 配置队列权限 队列权限可以为当前工作空间分配可使用的MRS Yarn和 DLI 队列资源，并为用户组/用户配置对应的队列权限策略。 当为工作空间分配队列资源后，在数据开发组件在为作业节点配置队列资源时，可选择的队列为当前空间下已分配的队列资源。 当为用户组/用户配置队列权限策略后，授权对象将按照策略内容被授予相应权限。 配置空间资源权限策略 数据安全支持对空间资源进行管控，例如数据连接、委托等资源。空间资源管控后，对于非授权对象的普通用户，则无权再查看并使用此资源。 Ranger权限管理流程 配置资源权限 通过统一入口创建MRS各个组件的权限策略，由Ranger组件实现权限控制。 查看权限报告 通过全面的权限报告，查看资源配置权限策略及其详情。