策略,角色,与权限¶
策略是一组对 EnOS 中资源(例如服务、功能、和数据)的操作权限的集合。你可以通过为用户、用户组、或服务账号赋予访问策略以管理其在 EnOS 内可访问的资源。策略仅在分配给用户、用户组、或服务账号时生效。你可以根据 EnOS 支持的授权颗粒度按需为用户、用户组、或服务账号授予不同的策略。
- EnOS 服务和工具:支持菜单级访问授权。
- 资产及数据:支持授予组织内全部资产的数据访问权限。
IAM 中的权限策略分为两类:预定义策略 和 自定义策略。
预定义策略¶
预先为 EnOS 内某种典型用户角色或服务帐号定义的一组访问权限的结合,不可被编辑和删除。如被赋予“模型管理员”角色的用户或服务帐号对其所属组织的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限。
目前 EnOS 提供以下预定义策略:
| 角色 | 权限 |
|---|---|
| 组织管理员 Administrator | 拥有该 OU 所有资源的访问和管理权限。 |
| EAP 项目人员 EAP Project Staff | 拥有 MI Hub 里私有型模型集市及模型部署和模型生产监控的读、写和删除权限,以及公开型模型集市和模型版本的读写权限。 |
| EAP 普通用户 EAP Customer | 拥有 MI Hub 里所有资产包括模型部署、模型生产监控和模型版本的读权限。 |
| EAP 管理员 EAP Admin | 拥有 MI Hub 里所有资产包括模型部署、模型生产监控和模型版本的读、写和删除权限。 |
| EAP 开发人员 EAP Developer | 拥有 MI Hub 里私有型模型集市及模型部署、模型生产监控和模型版本的读、写和删除权限,以及公开型模型集市的读写权限。 |
| 安全审计员 Security Auditor | 拥有 OU 所有安全设置、审计日志的查看权限。 |
| 模型管理员 Model Administrator | 对OU的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限,包括系统管理员、管理模型的行业专家、负责模型部署的运维人员等。 |
| 资产树管理员 Asset Tree Administrator | 对组织下的资产树有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等。 |
| 设备管理员 Device Management Administrator | 对组织下的设备接入配置有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等。 |
| 资源管理员 Resource Manager | 拥有 OU 内计算资源和存储资源的分配和管理权限。 |
自定义策略¶
自定义策略是根据用户或服务帐号对访问 EnOS 服务的需要自定义的权限策略。例如,当用户或服务帐号只需要查询模型,则可为用户或服务帐号赋予“模型管理服务”的“只读”权限。
目前 EnOS 支持对以下服务的自定义权限:
| 服务名称 | 资源 | 权限选项 |
|---|---|---|
| 资产 | 接入配置 |
|
| 资产树管理 | EnOS 管理控制台中的资产树 |
|
| 模型管理 | 模型 |
|
| 设备管理 | 接入配置 |
|
| 资源管理 | EnOS 管理控制台中的资源管理 | Full Access:分配和管理OU内计算资源和存储资源的所有权限 |
| AI 资产管理 | EnOS 管理控制台中的 MI Hub 模型管理 |
|