策略,角色,与权限¶
策略是一组对 EnOS 中资源(例如服务、功能、和数据)的操作权限的集合。你可以通过为用户、用户组、或服务账号赋予访问策略以管理其在 EnOS 内可访问的资源。策略仅在分配给用户、用户组、或服务账号时生效。你可以根据 EnOS 支持的授权颗粒度按需为用户、用户组、或服务账号授予不同的策略。
EnOS 服务和工具:支持菜单级访问授权。
资产及数据:支持授予组织内全部资产的数据访问权限。
IAM 中的权限策略分为两类:预定义策略 和 自定义策略。
预定义策略¶
预先为 EnOS 内某种典型用户角色或服务帐号定义的一组访问权限的结合,不可被编辑和删除。如被赋予“模型管理员”角色的用户或服务帐号对其所属组织的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限。
目前 EnOS 提供以下预定义策略:
角色 |
权限 |
|---|---|
组织管理员 Administrator |
拥有该 OU 所有资源的访问和管理权限。 |
EAP 项目人员 EAP Project Staff |
拥有 MI Hub 里私有型模型集市及模型部署和模型生产监控的读、写和删除权限,以及公开型模型集市和模型版本的读写权限。 |
EAP 普通用户 EAP Customer |
拥有 MI Hub 里所有资产包括模型部署、模型生产监控和模型版本的读权限。 |
EAP 管理员 EAP Admin |
拥有 MI Hub 里所有资产包括模型部署、模型生产监控和模型版本的读、写和删除权限。 |
EAP 开发人员 EAP Developer |
拥有 MI Hub 里私有型模型集市及模型部署、模型生产监控和模型版本的读、写和删除权限,以及公开型模型集市的读写权限。 |
安全审计员 Security Auditor |
拥有 OU 所有安全设置、审计日志的查看权限。 |
模型管理员 Model Administrator |
对OU的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限,包括系统管理员、管理模型的行业专家、负责模型部署的运维人员等。 |
资产树管理员 Asset Tree Administrator |
对组织下的资产树有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等。 |
设备管理员 Device Management Administrator |
对组织下的设备接入配置有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等。 |
资源管理员 Resource Manager |
拥有 OU 内计算资源和存储资源的分配和管理权限。 |
自定义策略¶
自定义策略是根据用户或服务帐号对访问 EnOS 服务的需要自定义的权限策略。例如,当用户或服务帐号只需要查询模型,则可为用户或服务帐号赋予“模型管理服务”的“只读”权限。
目前 EnOS 支持对以下服务的自定义权限:
服务名称 |
资源 |
权限选项 |
|---|---|---|
资产 |
接入配置 |
|
资产树管理 |
EnOS 管理控制台中的资产树 |
|
模型管理 |
模型 |
|
设备管理 |
接入配置 |
|
资源管理 |
EnOS 管理控制台中的资源管理 |
Full Access:分配和管理OU内计算资源和存储资源的所有权限 |
AI 资产管理 |
EnOS 管理控制台中的 MI Hub 模型管理 |
|