用户组是若干用户(子账号)的集合,通过在用户组上绑定若干个权限策略,可使用户组内的成员均享有这些权限。若某个用户同时加入了多个用户组,该用户的权限将是多个用户组权限的并集。
通常主账号下如果包含多个子账号且需要以分组的形式划分权限时可以考虑使用【用户组】功能,该功能可实现多个子账号的批量授权,避免为每个子账号单独授权的重复劳动。
创建用户组及授权
使用前提
- 以主账号或者拥有【访问控制】权限的用户登录。
操作步骤
- 新建用户组:登录云骁智算控制台,单击左侧菜单栏底部的菜单项【用户管理】 进入CTIAM控制台页面。单击【用户组】进入用户组列表页,单击【创建用户组】,在弹出的页面中填写用户组名称即可创建一个用户组。
- 添加用户(可选):单击列表页某个用户组的【用户组管理】操作,打开用户组管理对话框,这里会列出当前租户下所有子用户。单击某个子用户的【添加】操作,并点击对话框的【确认】按钮,即可将该子用户加入该用户组。
- 为用户组绑定权限:在用户组列表页面单击【授权】操作按钮,在策略列表中勾选相应的策略即可快速地为用户组中的所有用户授予对应的权限。在云骁智算平台中,若为算法开发者创建用户组则可以授权云骁开发者系统策略:cwai developer:该策略包含云骁智算平台算法开发者访问权限,主要包含镜像和AI训练任务的管理权限。
cwai developer策略的具体权限定义如下:
权限名称 | 权限描述 |
---|---|
管理训练任务 | 包含增删改查训练任务 |
操作训练任务 | 包含开始、停止训练任务 |
查看训练任务 | 包含获取任务列表和任务详情、复制任务配置,查看训练任务监控信息 |
管理镜像 | 包含增删改查训练镜像 |
查看镜像 | 登录镜像仓库,推送和拉取镜像 |
查看数据集 | 获取数据集列表和数据集详情 |
查看队列 | 获取队列列表和队列详情信息 |
使用队列 | 提交任务到队列上 |
管理镜像仓库 | 创建/删除删除镜像仓库项目修改镜像仓库密码 |
查看任务监控 | 查看任务的业务监控和资源监控 |
tensorboard | 使用tensorboard |
算法开发者还需要对象存储的读写权限,可以通过在【企业项目】的【用户组】tab页中为用户组【设置策略】,选择zos admin策略来实现,如下图所示:
在云骁智算平台中,若为队列和数据集等资源的运维者创建用户组则可以授权云骁维护者系统策略:cwai maintainer:该策略主要包含包含队列和数据集的管理权限,和监控图表的查看等运维权限。
cwai maintainer策略的具体权限定义如下:
权限名称 | 权限描述 |
---|---|
查看资源组 | 获取资源组列表和资源组详情 |
管理队列 | 增删改查队列,锁定队列(说明:锁定队列后不能在队列上提交任务) |
管理数据集 | 增删改查数据集(包含显示数据集yaml配置,查看数据集列表, 获取数据集详情) |
查看资源监控指标 | 查看监控指标数据(含监控概览,资源组监控和节点监控) |
查看任务监控 | 查看任务的业务监控和占用资源监控 |
管理镜像仓库 | 创建/删除镜像仓库实例创建/删除删除镜像仓库项目修改镜像将库密码 |
使用镜像仓库 | 登录镜像仓库,查看镜像,上传镜像,拉取镜像 |
移除用户
用户组不仅可以新增用户,也可将现有用户从用户组中移除,被移除的用户将失去该用户组中分配的所有权限。
使用前提
- 以主账号或者拥有【访问控制】权限的用户登录。
操作步骤
- 单击左侧菜单栏底部的菜单项【用户管理】 进入CTIAM控制台页面。单击【用户组】进入用户组列表页。
- 点击【用户组管理】操作按钮,打开用户组管理对话框,对话框中会显示该用户组中的所有用户,在想要移除的用户名后单击【移除】即可将该用户移除出该用户组,单击【确认】按钮退出用户组管理对话框,此时该用户对应的权限将被回收。