产品概述
产品定价
客户价值
应用场景
配置子账号和权限
总览
TI-ONE 基于腾讯云 访问管理(Cloud Access Management,CAM)实现权限管理的能力。注册腾讯云账号后,系统会为您默认创建一个主账号,作为平台最高权限。主账号(或被授予访问管理权限的子账号)可为团队成员创建子账号,并通过 TI-ONE 的预设策略或自定义策略,为团队成员授予与其角色相匹配的TI-ONE操作权限。
前置条件
说明:
为 TI-ONE 授予其他云产品权限:在使用 TI-ONE 平台的过程中,部分训练/推理场景下会依赖腾讯云其他云产品的 API。因此,为确保相关功能正常使用,需要您提前为 TI-ONE 授予其他云产品的最小权限。
1. 注册腾讯云账号,详见 注册腾讯云文档。注册完成后,系统将默认为您创建一个主账号。
2. 使用 主账号 登录 TI-ONE 控制台,系统会提示您创建服务角色并为 TI-ONE 平台授权。
3. 单击 前往授权 按钮, 进入 CAM 控制台,单击 同意授权 ,完成授权动作。此时, TI-ONE 平台将支持您正常访问腾讯云其他云产品的资源。
创建子账号
1. 使用主账号或者拥有CAM权限的账号,登录 访问管理(CAM)控制台。
2. 进入 用户列表, 单击 新建用户 按钮进入新建用户页面。选择 快速创建 ,在“设置用户信息”的列表中填写用户名,并按需配置其它选项。
3. 单击 创建用户 按钮,创建成功后可在弹窗内查看子账号信息。
授权子账号
创建子账号后,您可使用预设策略或自定义策略,为子账号授予相应的权限策略,具体操作详见 授权管理。
说明:
预设策略 :由 TI-ONE 平台创建和管理,同时被用户高频使用的一些常见权限集合,如资源全读写权限等。操作对象范围广,操作粒度粗。预设策略为系统预设,不可自定义修改编辑。
自定义策略 :由用户创建的策略,允许做细粒度的权限划分。例如,为某算法工程师关联一条策略,使其有权访问训练任务,而无权访问推理服务。
预设策略
以下是子账号授权的预设策略,在子账号获取 TI-ONE 平台的相关权限时,可以按需进行授权。
预设策略名称 | 描述 |
QcloudTIONEFullAccessContainMultiservice | 腾讯云 TI-ONE 全读写权限。 包括 TI-ONE 全部功能的读写权限,以及访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、财务、文件存储、弹性 MapReduce、云服务器、数据加速器 GooseFS、负载均衡的权限。 该策略为平台最高权限,推荐平台管理者使用。 |
QcloudTIONEResouceGroupFullAccessContainMultiservice | 腾讯云 TI-ONE 全读权限以及平台管理模块全读写权限。 腾讯云 TI-ONE 平台管理模块全读写权限、以及平台管理依赖接口的权限,包括访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、财务、文件存储、弹性 MapReduce、云服务器、数据加速器 GooseFS的读权限,以及下单交易权限。 该策略为平台资源管理及其他模型只读权限,推荐资源管理者使用。 |
QcloudTIONEReadOnlyAccessContainMultiservice | 腾讯云 TI-ONE 全读权限。 包括关联的其他云产品访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、文件存储、弹性 MapReduce、云服务器、数据加速器 GooseFS 的只读权限。 该策略推荐给只需要查看 TI-ONE 平台内容的用户使用。 |
QcloudTIONEDeveloperContainMultiservice | 腾讯云 TI-ONE 训练和推理所需的读写权限,以及平台管理的读权限。 包含大模型广场、数据中心、训练工坊、模型管理、模型服务等模块的读写权限,平台管理的读权限,以及平台依赖的其他云产品的基本权限。 该策略适用于平台非管理员的普通开发者。 |
QcloudTIONEOperationalPrecondition | TI-ONE 服务所有操作级接口权限。 包含 TI-ONE 服务所有操作级接口权限 该策略适用于需要基于标签,为子用户授予细粒度的读写权限时使用。 |
以下是TI-ONE 服务角色(TIONE_QcsRole)的预设策略,用于授权 TI-ONE 服务访问该用户的其他云产品,例如 COS、VPC等。
预设策略名称 | 描述 |
QcloudAccessForTIONERoleInTakeOver | 授权腾讯云 TI-ONE 服务角色在维护资源组节点时,访问其他关联云服务资源的权限。 包含云服务器、私有网络、私有域解析,容器镜像服务相关操作权限。 该策略在用户使用资源组首次添加节点时,需要进行授权。 |
QcloudAccessForTIONERoleInCodeRepository | 授权腾讯云 TI-ONE 服务角色密钥管理系统操作权限。 包含密钥管理系统(KMS)创建密钥、加密、解密、生成数据密钥、查询密钥列表。 该策略在用户使用自定义镜像密钥;打开开发机, 任务式建模/在线服务容器登录; 代码库密钥等需要加密的场景时,需要授权。 |
QcloudAccessForTIONERole | 授权腾讯云 TI-ONE 服务角色运行所需的基本操作权限。 包含列举对象存储文件,增删改查文件内容;含查询私有网络,查询子网; 含创建、查询、搜索、下载日志服务;含查询云监控,含拉取容器服务镜像。 该策略在用户使用 TI-ONE 时 ,必须授权后台服务。 |
QcloudAccessForTIONERoleInGoosefs | 授权腾讯云 TI-ONE 服务角色 GooseFS 存储操作权限。 包含 GooseFS 集群的查询,Client 节点的创建/查看,FUSE 客户端的创建/查询/删除,命名空间的查询。 该策略在用户需要在纳管集群中额外使用 GooseFS 服务时,需要授权。 |
QcloudTIONESanityCheck | 授权腾讯云 TI-ONE 服务角色启动健康检查任务的权限。 该策略供腾讯云 TI-ONE 服务角色进行关联,授权 TI-ONE 运维团队启动健康检查任务。 该策略在 TI-ONE 运维团队协助排查节点故障时,需要授权。 |
QcloudAccessForTIONERoleInNetwork | 授权腾讯云 TI-ONE 服务角色配置网络的权限。 该策略供腾讯云 TI-ONE 服务角色进行关联,将 TI-ONE 产品中启动的任务服务等映射到用户的网络配置下。 该策略在用户配置自定义网络参数时,需要授权。 |
自定义策略
当 TI-ONE 平台预设策略无法满足对子账号的权限管控需求时,您可以创建自定义策略为子账号授权,相关操作指引请查看 通过策略生成器创建自定义策略 或 通过策略语法创建自定义策略,详细接口说明请查看 CAM 业务接口说明。
配置资源隔离
资源隔离是通过为不同团队的子用户分配差异化的资源(如资源组、服务)访问权限,来实现企业内部多团队的协作管理。
如您没有资源隔离的需求,完成上述授权子账号操作配置后,即可进入 TI-ONE 平台使用。
文档反馈