Skip to main content

用户与群组

ClearML 托管服务用户可以添加用户到他们的工作区。

此外,ClearML企业计划的管理员可以定义用户组来控制访问权限,并为自动化创建服务账户

Hosted Service Feature

邀请新队友仅在ClearML托管服务上可用。

用户

USERS 表格列出了工作区成员,并显示是否已达到最大成员数。 表格的每一行包括:

  • Username
  • 用户状态 (ActivePending)
  • 如果用户的邀请待处理,则为用户添加的日期
  • 用户组 (ClearML 企业版功能)

用户表

邀请新团队成员

要邀请用户加入您的工作区,请按下+ 邀请用户按钮,并在弹出的对话框中输入电子邮件。 一旦被邀请,添加的用户可以立即访问您的工作区。

移除团队成员

要从工作区中移除用户:

  1. 将鼠标悬停在表格中的用户行上
  2. 点击 Trash can 按钮

被移除的用户将失去对您工作区资源(任务、模型等)的访问权限,并且他们现有的访问凭证将被撤销。被移除用户记录到您工作区的任务和相关工件将保留在您的工作区中。该用户只有在您重新邀请他们时才能重新加入您的工作区。

服务账户

Enterprise Feature

此功能在ClearML企业版计划下可用。

服务账户是ClearML用户,它们提供服务以访问ClearML API,但不访问UI。管理员可以为服务账户创建访问凭证,以便将它们用于不同的ClearML代理、自动化等。

服务账户在ClearML中拥有普通用户的所有权限,但有以下限制:

  • 服务账户不能用于访问用户界面
  • 服务账户可用于促进在每个任务所有者的身份下运行任务(“模拟”)。
    • 用于通过命令行运行代理,这将允许您指定--use-owner-token选项。
    • 用于运行ClearML代理Helm图表,这将允许您指定values.agentk8s.useOwnerToken: true选项。
    • 用于运行自动扩展应用程序,这将允许您使用Apply Task Owner Vault Configuration选项。
Access Rules

访问控制被配置时,它们适用于服务账户,就像适用于ClearML用户一样。 因此,为了使用服务账户以守护进程模式运行代理,服务账户必须能够访问代理将服务的队列。

SERVICE ACCOUNTS 表格列出了工作区的服务账户。 表格的每一行包括:

  • Name - Service account name
  • 用户组
  • 用户ID
  • 凭证 - 当前账户可用的凭证数量
  • Last Activity Time

将鼠标悬停在表格中的服务账户上以编辑删除它。

服务账户

创建服务账户

要创建服务账户:

  1. 点击 + 添加服务账户
  2. 添加服务账户模态框中输入新账户的名称。选择允许模拟以允许服务账户承担任务所有者的身份
  3. 点击保存
Impersonation

服务账户是Users组的成员,这意味着它们可以访问所有用户可用的资源。当启用模拟时,由服务账户运行的任务(即由使用服务账户凭据的代理或自动扩展器运行的任务)将像任务所有者一样执行,这意味着它将有权访问任务所有者的配置库以及任务所有者有权访问的资源。模拟管理员用户并不意味着任务的代码将具有管理员权限。

如果未启用模拟:

  • 如果你使用--use_owner_token运行代理,那么代理将会失败。
  • 如果你运行一个没有--use_owner_token的代理,任务将使用服务账户的访问规则运行,因此请确保该账户使用它有权访问的资源

当创建一个服务账户时,会自动生成一组初始凭证。对话框显示新的凭证,格式化为一个可以直接复制的配置文件部分。

服务账户凭证

为服务账户生成新的凭证:

  1. 将鼠标悬停在表格中的账户行上
  2. 点击Edit Pencil按钮,这将打开编辑面板
  3. 点击创建新凭证

对话框显示新的凭据,格式化为一个可以直接复制的配置文件部分。

撤销一组凭证:

  1. 在编辑面板中,悬停在相关凭证的行上
  2. 点击 Trash can 按钮

服务账户配置保险库

使用服务账户的配置库来存储ClearML配置项,这些配置项可以扩展任何使用服务账户凭证运行的ClearML代理或ClearML SDK的配置文件

如果Vault条目尚未存在,它们将扩展ClearML 配置文件中的配置,并覆盖文件中已存在的值。

使用任何ClearML支持的配置格式填写值:HOCON / JSON / YAML。

编辑保险库内容:

  1. 点击相关服务账户以打开其详细信息面板
  2. 点击配置库上的编辑
  3. 在保险库中插入/编辑配置
  4. 按下 OK

应用保险库内容:

  • 点击保险库顶部的切换按钮以启用/禁用配置
  • 一旦启用,配置将在使用ClearML和ClearML代理时合并到配置文件中

除了服务账户特定的配置保险库外,管理员保险库也可以应用于服务账户。请参阅配置保险库下方的已应用的管理员保险库,查看所有应用于该账户的保险库。

服务账户配置保险库

删除服务账户

删除服务帐户将撤销其凭据,导致使用该帐户凭据的代理失败。 由服务帐户记录到您工作空间的任务和相关工件将保留在您的工作空间中。

要删除服务账户:

  1. 将鼠标悬停在表格中的账户行上
  2. 点击 Trash can 按钮

用户组

Enterprise Feature

此功能在ClearML企业计划下可用,作为访问规则功能的一部分。

管理员可以定义用户组,这些用户组可用于访问权限管理。用户可以被分配到多个用户组。

系统包括三个预配置的组,无法删除:

  • Users - 所有用户(包括服务账户)。无法修改
  • Admins - 对所有资源具有读写访问权限(除了队列修改),并且可以授予用户/用户组对工作空间资源的访问权限
  • Queue admins - 可以创建 / 删除 / 重命名队列

用户组表列出了所有活跃的用户组。每行包括组的名称、描述、成员列表和ID。

用户管理页面

创建用户组

创建用户组:

  1. 点击 + 添加组
  2. 在对话框中,添加组名和描述
  3. 将成员添加到组中。点击输入框时,会出现工作区成员列表,可以从中选择组成员。通过输入部分用户名来筛选列表。要移除成员,请将鼠标悬停在用户行上并点击Trash can按钮
  4. 点击保存

用户组创建对话框

编辑用户组

编辑用户组

  1. 将鼠标悬停在表格中的用户组行上
  2. 点击 Edit Pencil 按钮
  3. 编辑组的名称和/或描述
  4. 编辑组成员(详情请见这里
  5. 点击保存

删除用户组

删除用户组:

  1. 将鼠标悬停在表格中的用户组行上
  2. 点击 Trash can 按钮

当用户组被删除时,其成员将失去授予该组的访问权限(除非单独提供或授予他们所属的另一个组)。