策略,角色,与权限


策略是一组对 EnOS 中资源(例如服务、功能、和数据)的操作权限的集合。你可以通过为用户、用户组、或服务账号赋予访问策略以管理其在 EnOS 内可访问的资源。策略仅在分配给用户、用户组、或服务账号时生效。你可以根据 EnOS 支持的授权颗粒度按需为用户、用户组、或服务账号授予不同的策略。

  • EnOS 服务和工具:支持菜单级访问授权。

  • 资产及数据:支持授予组织内全部资产的数据访问权限。


IAM 中的权限策略分为两类:预定义策略自定义策略

预定义策略

预先为 EnOS 内某种典型用户角色或服务帐号定义的一组访问权限的结合,不可被编辑和删除。如被赋予“模型管理员”角色的用户或服务帐号对其所属组织的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限。


目前 EnOS 提供以下预定义策略:

角色

权限

组织管理员 Administrator

拥有该 OU 所有资源的访问和管理权限。

EAP 项目人员 EAP Project Staff

拥有 MI Hub 里私有型模型集市及模型部署和模型生产监控的读、写和删除权限,以及公开型模型集市和模型版本的读写权限。

EAP 普通用户 EAP Customer

拥有 MI Hub 里所有资产包括模型部署、模型生产监控和模型版本的读权限。

EAP 管理员 EAP Admin

拥有 MI Hub 里所有资产包括模型部署、模型生产监控和模型版本的读、写和删除权限。

EAP 开发人员 EAP Developer

拥有 MI Hub 里私有型模型集市及模型部署、模型生产监控和模型版本的读、写和删除权限,以及公开型模型集市的读写权限。

安全审计员 Security Auditor

拥有 OU 所有安全设置、审计日志的查看权限。

模型管理员 Model Administrator

对OU的模型有创建、删除、编辑、导入、导出、查看、实例化的读写权限,包括系统管理员、管理模型的行业专家、负责模型部署的运维人员等。

资产树管理员 Asset Tree Administrator

对组织下的资产树有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等。

设备管理员 Device Management Administrator

对组织下的设备接入配置有创建、删除、编辑、查看的读写权限,包括系统管理员、资产管理员、资产实施人员等。

资源管理员 Resource Manager

拥有 OU 内计算资源和存储资源的分配和管理权限。

自定义策略

自定义策略是根据用户或服务帐号对访问 EnOS 服务的需要自定义的权限策略。例如,当用户或服务帐号只需要查询模型,则可为用户或服务帐号赋予“模型管理服务”的“只读”权限。


目前 EnOS 支持对以下服务的自定义权限:

服务名称

资源

权限选项

资产

接入配置

  • Control:向资产下发控制指令的权限

  • Read:读取资产信息的权限

  • Write:修改资产信息和属性的权限

资产树管理

EnOS 管理控制台中的资产树

  • Full Access:管理资产树所需的所有权限

  • Read:读取资产树信息的权限

模型管理

模型

  • Full Access:管理模型所需的所有权限

  • Read:读取模型信息的权限

设备管理

接入配置

  • Full Access:管理接入设备所需的所有权限

  • Read:读取接入设备信息的权限

资源管理

EnOS 管理控制台中的资源管理

Full Access:分配和管理OU内计算资源和存储资源的所有权限

AI 资产管理

EnOS 管理控制台中的 MI Hub 模型管理

  • Read:读取模型信息的权限

  • Write:修改模型信息的权限

  • Delete:删除模型的权限