创建dlg_agency默认委托

约束与限制

• 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。
• 由于数据安全使用dlg_agency委托时，所需的云服务权限更高，因此dlg_agency默认委托权限中未包含数据安全所需权限，在使用数据安全前需要单独再为dlg_agency委托授予相关权限，详见授权dlg_agency委托。
• 在一键对DataArts Studio服务委托权限优化时，系统会先对dlg_agency委托赋予最小化权限，然后直接删除过大权限。但由于对dlg_agency委托赋权可能需要最多10分钟才能生效，在此期间可能会由于委托权限不足导致业务报错，因此建议在业务低谷时间段操作或手动进行权限优化（详见委托授权最小化权限实践）。

前提条件

已完成账号创建，详见注册账号并实名认证。

创建dlg_agency默认委托

1. 以Security Administrato账号登录华为云控制台。
2. 在控制台左上方，单击“服务列表”按钮，选择“”，进入DataArts Studio控制台。
3. 不存在dlg_agency委托时，当进入DataArts Studio控制台，系统会自动弹出“云资源访问授权”的对话框，提示您对所列出的服务进行委托授权。勾选待授权服务并单击“同意授权”，系统会在IAM服务自动创建dlg_agency默认委托。完成了委托授权后，下次再进入DataArts Studio控制台首页时，系统不会再弹出访问授权的对话框。

   云服务委托包含DWS、MRS、RDS、OBS、SMN、KMS等服务的相关权限，作用范围可在授权后访问IAM的委托界面查看。 另外子账号以主账号的委托为准，不需要额外申请委托。

   

   • 只有拥有Security Administrator权限的用户才创建云服务委托。云服务委托可将相关云服务的操作权限委托给DataArts Studio，让DataArts Studio以您的身份使用这些云服务，代替您进行一些任务调度、资源运维等工作。
   • 勾选待授权服务时，建议您选择所有相关服务。如果您只勾选了其中的某几个服务进行委托授权，系统后续不会再弹窗提示对未委托授权服务进行委托授权，而是在使用过程中会因委托权限不足而导致使用报错。
   图1 云资源访问授权
   

委托权限最小化优化

在历史版本中，DataArts Studio自动创建的dlg_agency云服务委托，默认包含DWS、MRS、RDS、OBS、SMN、KMS等相关服务的管理员权限。为了避免dlg_agency委托权限过大的风险，当前部分区域已上线委托权限最小化能力，即新创建委托权限优化为相关云服务的最小操作权限，并支持一键对已有委托进行权限最小化优化。

在委托权限最小化能力已上线区域，您可以在DataArts Studio控制台首页的实例列表页面，在“DataArts Studio服务委托权限优化”提示栏中单击“优化权限”，在弹出的窗口中勾选所需优化的权限，单击“立即优化”，完成委托权限最小化优化。

• 在一键对DataArts Studio服务委托权限优化时，系统会先对dlg_agency委托赋予最小化权限，然后直接删除过大权限。但由于对dlg_agency委托赋权可能需要最多10分钟才能生效，在此期间可能会由于委托权限不足导致业务报错，因此建议在业务低谷时间段操作或手动进行权限优化（详见委托授权最小化权限实践）。
• 如果您所在区域暂不支持委托权限最小化，您可以参考委托授权最小化权限实践进行手动调整。

图2 委托权限最小化优化