TI-ONE 训练平台配置子账号和权限

总览
TI-ONE 基于腾讯云 访问管理（Cloud Access Management，CAM）实现权限管理的能力。注册腾讯云账号后，系统会为您默认创建一个主账号，作为平台最高权限。主账号（或被授予访问管理权限的子账号）可为团队成员创建子账号，并通过 TI-ONE 的预设策略或自定义策略，为团队成员授予与其角色相匹配的TI-ONE操作权限。
本文将从创建子账号和授权子账号两个方面，介绍如何创建用户并分配权限。如需子账号资源隔离，详见 基于标签实现子用户间资源隔离。
前置条件
说明：
为 TI-ONE 授予其他云产品权限：在使用 TI-ONE 平台的过程中，部分训练/推理场景下会依赖腾讯云其他云产品的API（例如 COS、CFS、GooseFS 等，详见关联产品说明）。因此，为确保相关功能正常使用，需要您提前为 TI-ONE 授予其他云产品的最小权限。
1. 注册腾讯云账号，详见 注册腾讯云文档。注册完成后，系统将默认为您创建一个主账号。
2. 使用 主账号 登录 TI-ONE 控制台，系统会提示您创建服务角色并为 TI-ONE 平台授权。
3. 单击 前往授权 按钮， 进入 CAM 控制台，单击 同意授权 ，完成授权动作。此时， TI-ONE 平台将支持您正常访问腾讯云其他云产品的资源。
﻿
﻿
﻿
﻿
﻿
﻿
创建子账号
本文仅介绍创建快速子账号的流程，更多操作详见 新建子账号文档。
1. 使用主账号或者拥有CAM权限的账号，登录 访问管理（CAM）控制台。
2. 进入 用户列表， 单击 新建用户 按钮进入新建用户页面。选择 快速创建 ，在“设置用户信息”的列表中填写用户名，并按需配置其它选项。
3. 单击 创建用户 按钮，创建成功后可在弹窗内查看子账号信息。
﻿
快速创建子用户
﻿
成功创建子用户
﻿
授权子账号
创建子账号后，您可使用预设策略或自定义策略，为子账号授予相应的权限策略，具体操作详见 授权管理。
说明：
预设策略 ：由 TI-ONE 平台创建和管理，同时被用户高频使用的一些常见权限集合，如资源全读写权限等。操作对象范围广，操作粒度粗。预设策略为系统预设，不可自定义修改编辑。
自定义策略 ：由用户创建的策略，允许做细粒度的权限划分。例如，为某算法工程师关联一条策略，使其有权访问训练任务，而无权访问推理服务。
如需了解如何在预设策略与自定义策略之间进行选择，请参见 预设策略 与 自定义策略。
预设策略
以下是子账号授权的预设策略，在子账号获取 TI-ONE 平台的相关权限时，可以按需进行授权。
预设策略名称
描述
﻿QcloudTIONEFullAccessContainMultiservice﻿
腾讯云 TI-ONE 全读写权限。
包括TI-ONE 全部功能的读写权限，以及访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、财务、文件存储、弹性MapReduce、云服务器、数据加速器 GooseFS、负载均衡的权限。
该策略为平台最高权限，推荐平台管理者使用。
﻿QcloudTIONEResouceGroupFullAccessContainMultiservice﻿
腾讯云 TI-ONE 全读权限以及平台管理模块全读写权限。
腾讯云 TI-ONE 平台管理模块全读写权限、以及平台管理依赖接口的权限，包括访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、财务、文件存储、弹性MapReduce、云服务器、数据加速器 GooseFS的读权限，以及下单交易权限。
该策略为平台资源管理及其他模型只读权限，推荐资源管理者使用。
﻿QcloudTIONEReadOnlyAccessContainMultiservice﻿
腾讯云 TI-ONE 全读权限。
包括关联的其他云产品访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、文件存储、弹性MapReduce、云服务器、数据加速器 GooseFS的只读权限。
该策略推荐给只需要查看TI-ONE 平台内容的用户使用。
﻿QcloudTIONEDeveloperContainMultiservice﻿
腾讯云TI-ONE 训练和推理所需的读写权限，以及平台管理的读权限。
包含大模型广场、数据中心、训练工坊、模型管理、模型服务等模块的读写权限，平台管理的读权限，以及平台依赖的其他云产品的基本权限。
该策略适用于平台非管理员的普通开发者。
﻿QcloudTIONEOperationalPrecondition﻿
TI-ONE服务所有操作级接口权限。
包含TI-ONE服务所有操作级接口权限
该策略适用于需要基于标签，为子用户授予细粒度的读写权限时使用。
以下是TI-ONE 服务角色（TIONE_QcsRole）的预设策略，用于授权TI-ONE 服务访问该用户的其他云产品，比如COS，VPC等。
预设策略名称
描述
﻿QcloudAccessForTIONERoleInTakeOver﻿
授权腾讯云 TI-ONE 服务角色在维护资源组节点时，访问其他关联云服务资源的权限。
包含云服务器、私有网络、私有域解析，容器镜像服务相关操作权限。
该策略在用户使用资源组首次添加节点时，需要进行授权。
﻿QcloudAccessForTIONERoleInCodeRepository﻿
授权腾讯云 TI-ONE 服务角色密钥管理系统操作权限。
包含密钥管理系统（KMS）创建密钥、加密、解密、生成数据密钥、查询密钥列表。
该策略在用户使用自定义镜像密钥；打开开发机， 任务式建模/在线服务容器登录； 代码库密钥等需要加密的场景时，需要授权。
﻿QcloudAccessForTIONERole﻿
授权腾讯云 TI-ONE 服务角色运行所需的基本操作权限。
包含列举对象存储文件，增删改查文件内容；含查询私有网络，查询子网; 含创建、查询、搜索、下载日志服务；含查询云监控，含拉取容器服务镜像。
该策略在用户使用TI-ONE时 ，必须授权后台服务。
﻿QcloudAccessForTIONERoleInGoosefs﻿
授权腾讯云 TI-ONE 服务角色 GooseFS 存储操作权限。
包含 GooseFS 集群的查询，Client 节点的创建/查看，FUSE 客户端的创建/查询/删除，命名空间的查询。
该策略在用户需要在纳管集群中额外使用 GooseFS 服务时，需要授权。
﻿QcloudTIONESanityCheck﻿
授权腾讯云 TI-ONE 服务角色启动健康检查任务的权限。	
该策略供腾讯云 TI-ONE 服务角色进行关联，授权TIONE运维团队启动健康检查任务。 
该策略在TIONE运维团队协助排查节点故障时，需要授权。
﻿QcloudAccessForTIONERoleInNetwork﻿
授权腾讯云 TI-ONE 服务角色配置网络的权限。
该策略供腾讯云 TI-ONE 服务角色进行关联，将 TI-ONE 产品中启动的任务服务等映射到用户的网络配置下。
该策略在用户配置自定义网络参数时，需要授权。
自定义策略
当 TI-ONE 平台预设策略无法满足对子账号的权限管控需求时，您可以创建自定义策略为子账号授权，相关操作指引请查看 通过策略生成器创建自定义策略 或 通过策略语法创建自定义策略，详细接口说明请查看 CAM 业务接口说明。
配置资源隔离
资源隔离是通过为不同团队的子用户分配差异化的资源（如资源组、服务）访问权限，来实现企业内部多团队的协作管理。
如您没有资源隔离的需求，完成上述授权子账号操作配置后，即可进入 TI-ONE 平台使用。
如您需要做资源隔离，可以参考 使用 CAM 标签实现子用户间资源隔离。
﻿

预设策略名称	描述
QcloudTIONEFullAccessContainMultiservice	腾讯云 TI-ONE 全读写权限。包括TI-ONE 全部功能的读写权限，以及访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、财务、文件存储、弹性MapReduce、云服务器、数据加速器 GooseFS、负载均衡的权限。该策略为平台最高权限，推荐平台管理者使用。
QcloudTIONEResouceGroupFullAccessContainMultiservice	腾讯云 TI-ONE 全读权限以及平台管理模块全读写权限。腾讯云 TI-ONE 平台管理模块全读写权限、以及平台管理依赖接口的权限，包括访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、财务、文件存储、弹性MapReduce、云服务器、数据加速器 GooseFS的读权限，以及下单交易权限。该策略为平台资源管理及其他模型只读权限，推荐资源管理者使用。
QcloudTIONEReadOnlyAccessContainMultiservice	腾讯云 TI-ONE 全读权限。包括关联的其他云产品访问管理、私有网络、日志服务、容器镜像服务、腾讯云可观测平台、对象存储、标签、文件存储、弹性MapReduce、云服务器、数据加速器 GooseFS的只读权限。该策略推荐给只需要查看TI-ONE 平台内容的用户使用。
QcloudTIONEDeveloperContainMultiservice	腾讯云TI-ONE 训练和推理所需的读写权限，以及平台管理的读权限。包含大模型广场、数据中心、训练工坊、模型管理、模型服务等模块的读写权限，平台管理的读权限，以及平台依赖的其他云产品的基本权限。该策略适用于平台非管理员的普通开发者。
QcloudTIONEOperationalPrecondition	TI-ONE服务所有操作级接口权限。包含TI-ONE服务所有操作级接口权限该策略适用于需要基于标签，为子用户授予细粒度的读写权限时使用。

预设策略名称	描述
QcloudAccessForTIONERoleInTakeOver	授权腾讯云 TI-ONE 服务角色在维护资源组节点时，访问其他关联云服务资源的权限。包含云服务器、私有网络、私有域解析，容器镜像服务相关操作权限。该策略在用户使用资源组首次添加节点时，需要进行授权。
QcloudAccessForTIONERoleInCodeRepository	授权腾讯云 TI-ONE 服务角色密钥管理系统操作权限。包含密钥管理系统（KMS）创建密钥、加密、解密、生成数据密钥、查询密钥列表。该策略在用户使用自定义镜像密钥；打开开发机，任务式建模/在线服务容器登录；代码库密钥等需要加密的场景时，需要授权。
QcloudAccessForTIONERole	授权腾讯云 TI-ONE 服务角色运行所需的基本操作权限。包含列举对象存储文件，增删改查文件内容；含查询私有网络，查询子网; 含创建、查询、搜索、下载日志服务；含查询云监控，含拉取容器服务镜像。该策略在用户使用TI-ONE时，必须授权后台服务。
QcloudAccessForTIONERoleInGoosefs	授权腾讯云 TI-ONE 服务角色 GooseFS 存储操作权限。包含 GooseFS 集群的查询，Client 节点的创建/查看，FUSE 客户端的创建/查询/删除，命名空间的查询。该策略在用户需要在纳管集群中额外使用 GooseFS 服务时，需要授权。
QcloudTIONESanityCheck	授权腾讯云 TI-ONE 服务角色启动健康检查任务的权限。该策略供腾讯云 TI-ONE 服务角色进行关联，授权TIONE运维团队启动健康检查任务。该策略在TIONE运维团队协助排查节点故障时，需要授权。
QcloudAccessForTIONERoleInNetwork	授权腾讯云 TI-ONE 服务角色配置网络的权限。该策略供腾讯云 TI-ONE 服务角色进行关联，将 TI-ONE 产品中启动的任务服务等映射到用户的网络配置下。该策略在用户配置自定义网络参数时，需要授权。

配置子账号和权限

本页目录：

总览

前置条件

创建子账号

授权子账号

预设策略

自定义策略

配置资源隔离