Pengelolaan izin mendukung kontrol akses multidimensi pada tingkat halaman konsol dan model, dirancang untuk memenuhi kebutuhan struktur organisasi kompleks dengan banyak wilayah dan pengguna.
Manajemen identitas
Satu ruang kerja merupakan unit manajemen terkecil untuk pengelolaan izin detail halus (untuk model dan pengguna) dan alokasi biaya.
Pengelolaan izin ruang kerja Model Studio didasarkan pada tiga peran:
Super administrator: Mengelola pengguna, model yang tersedia, pembatasan laju model, dan kunci API di seluruh ruang kerja.
Administrator ruang kerja: Mengelola izin pengguna dan sumber daya dalam ruang kerja tertentu.
Pengguna biasa: Menggunakan sumber daya sesuai dengan izin yang diberikan.
Izin ruang kerja | Super administrator | Administrator ruang kerja | Pengguna biasa |
Izinkan pemanggilan model tertentu & pembatasan laju | |||
Izinkan fine-tuning model tertentu | |||
Manajemen pengguna | |||
Kelola halaman yang dapat diakses pengguna | |||
Manajemen kunci API | |||
Akses/gunakan ruang kerja, halaman, dan sumber daya yang diotorisasi |
Super administrator
Peran ini mencakup dua jenis akun berikut:
Akun Alibaba Cloud, yang ditampilkan di pojok kanan atas konsol Model Studio:
Pengguna RAM (akun) dengan kebijakan sistem AliyunBailianFullAccess (administrator Model Studio) dapat menggunakan menu manajemen global ( Singapura | Beijing | Virginia) untuk memberikan hampir semua izin di wilayah mana pun dan ruang kerja mana pun kepada pengguna RAM mana pun. (Hanya akun Alibaba Cloud yang dapat memberikan izin OpenAPI.)
Pengguna RAM adalah sub-akun yang dibuat oleh akun Alibaba Cloud untuk secara aman menetapkan sumber daya cloud dan izin kepada anggota tim.
Pojok kanan atas menampilkan hal berikut:
Di Model Studio, super administrator dapat menggunakan menu manajemen global ( Singapura | Beijing | Virginia) untuk mengelola beberapa ruang kerja. Fitur-fiturnya meliputi:
Membuat ruang kerja dan mengelola nama ruang kerja.
Mengelola model dan pembatasan laju model untuk semua ruang kerja.
Mengelola akun (pengguna) untuk semua ruang kerja.
Mengelola semua kunci API.
Untuk mengaktifkan fitur seperti pemantauan model, gunakan akun Alibaba Cloud untuk memberikan otorisasi satu kali dan aktifkan fitur tersebut di konsol.
Administrator ruang kerja
Peran ini merujuk pada pengguna RAM Akun Alibaba Cloud yang memiliki akses ke halaman Permissions suatu ruang kerja. Anda dapat menggunakan halaman ini untuk mengelola ruang kerja tersebut.
Administrator mencakup akses ke semua halaman dalam ruang kerja tersebut.
Pengelolaan izin ruang kerja
Model Studio membagi sumber daya dan ruang kerja berdasarkan wilayah geografis. Satu ruang kerja tidak dapat mencakup beberapa wilayah. Ruang kerja default di wilayah berbeda juga terpisah. Buka menu manajemen global ( Singapura | Beijing | Virginia).
Ruang kerja Model Studio juga merupakan unit pengelolaan terkecil untuk pengelolaan izin detail halus. Anda dapat menggunakannya untuk mengelola hal-hal berikut:
Izin ruang kerja | Super administrator | Administrator ruang kerja | Pengguna biasa |
Izinkan pemanggilan model tertentu & pembatasan laju | |||
Izinkan fine-tuning model tertentu | |||
Manajemen pengguna | |||
Kelola halaman yang dapat diakses pengguna | |||
Manajemen kunci API | |||
Akses/gunakan ruang kerja, halaman, dan sumber daya yang diotorisasi |
Batasi pemanggilan model: Anda dapat mengelola apakah suatu model dapat dipanggil (dari konsol dan melalui API) di ruang kerja tersebut serta menetapkan Request Number Limit dan Token Limit untuk model tersebut.
Batas ini tidak dapat diatur untuk ruang kerja default. Di ruang kerja default, semua model dapat dipanggil tanpa pembatasan laju.
Batasi pelatihan model: Anda dapat mengelola apakah suatu model dapat dilakukan fine-tuning (dari konsol dan melalui API) dan diterapkan di ruang kerja setelah fine-tuning.
Batas ini tidak dapat diatur untuk ruang kerja default. Di ruang kerja default, semua model yang mendukung fine-tuning dapat dilakukan fine-tuning dan diterapkan setelah proses fine-tuning selesai.
Manajemen izin konsol pengguna (akun): Anda dapat mengelola apakah pengguna RAM dapat menggunakan fitur-fitur konsol ruang kerja dan fitur mana saja yang dapat digunakan. Ini tidak membatasi pemanggilan API yang dilakukan dengan kunci API milik pengguna tersebut.
Tidak diperlukan pengaturan apa pun untuk akun Alibaba Cloud. Akun Alibaba Cloud dapat mengakses semua halaman di semua ruang kerja.
Izin kunci API
Kunci API hanya dapat dimiliki oleh satu pengguna dan satu ruang kerja dalam satu wilayah. Kunci API tidak dapat dipindahkan ke ruang kerja atau pengguna lain. Fitur yang dapat dipanggil dan batas laju model untuk kunci API konsisten dengan izin home workspace-nya dan tidak terpengaruh oleh manajemen izin konsol pengguna (akun).
Status kunci API berubah berdasarkan operasi yang dilakukan pada akun pemiliknya:
Operasi pemicu | Kunci API akun Alibaba Cloud | Kunci API pengguna RAM | Kunci API peran RAM |
Menghapus kunci API | Menjadi tidak valid dan tidak dapat dipulihkan | Menjadi tidak valid dan tidak dapat dipulihkan | Menjadi tidak valid dan tidak dapat dipulihkan |
Menghapus pengguna dari ruang kerja | - | Menjadi tidak valid Kunci API akan kembali valid setelah pengguna ditambahkan kembali ke ruang kerja. | Tetap valid |
Menghapus pengguna atau peran di konsol RAM | - | Menjadi tidak valid dan tidak dapat dipulihkan | Tetap valid |
Kelola kunci API: Buka halaman Permissions di panel navigasi sebelah kiri konsol Model Studio. Tambahkan izin kunci API untuk pengguna RAM. Hal ini memberikan izin kepada pengguna RAM untuk membuat, menghapus, dan melihat semua kunci API di ruang kerja tersebut.
Izin OpenAPI
Secara default, pengguna RAM tidak memiliki izin untuk memanggil OpenAPI untuk fitur-fitur aplikasi Model Studio, seperti data, basis pengetahuan, dan rekayasa prompt.
Untuk melakukan pemanggilan tersebut, Anda harus menggunakan akun Alibaba Cloud di konsol RAM untuk memberikan salah satu izin berikut kepada pengguna RAM:
AliyunBailianDataFullAccess: Mengizinkan pengguna memanggil semua API dalam katalog API aplikasi Model Studio.
AliyunBailianDataReadOnlyAccess: Mengizinkan pengguna memanggil API read-only dalam katalog API aplikasi Model Studio, seperti DescribeFile - Query file status dan GetIndexJobStatus - Query the status of a knowledge base creation job.
Peluncuran
Strategi perencanaan ruang kerja
Berdasarkan lingkungan (direkomendasikan): Buat ruang kerja terpisah untuk lingkungan pengembangan, pengujian, staging, dan produksi untuk mencapai isolasi lingkungan yang ketat.
project-dev-workspaceproject-test-workspaceproject-prod-workspace
Berdasarkan lini bisnis: Buat ruang kerja terpisah untuk departemen bisnis berbeda dalam perusahaan, seperti pemasaran, purna jual, dan desain, untuk menyederhanakan manajemen izin dan biaya.
marketing-team-workspacecustomer-team-workspace
Strategi pembatasan laju
Alokasikan kuota total akun root ke setiap ruang kerja secara proporsional. Sisihkan sebagian sebagai buffer untuk menangani lonjakan trafik.
Contoh: Jika kuota total akun adalah 1.000 QPM, rencana alokasinya sebagai berikut:
project-prod-workspace: 600 QPM (60%)project-test-workspace: 200 QPM (20%)project-dev-workspace: 100 QPM (10%)Buffer cadangan: 100 QPM (10%)
Manajemen izin penagihan dan langganan
Secara default, pengguna RAM tidak memiliki izin untuk melihat tagihan Alibaba Cloud atau membeli produk langganan. Untuk memberikan izin ini, Anda harus menambahkan izin spesifik untuk pengguna RAM di konsol RAM.
Izin berikut memberikan kemampuan kepada pengguna RAM untuk melihat tagihan untuk semua Produk Alibaba Cloud atau membeli semua produk langganan. Berikan izin ini dengan hati-hati.
Untuk mengizinkan pengguna RAM melihat tagihan Alibaba Cloud, Anda harus menambahkan izin
AliyunBSSReadOnlyAccesskepada pengguna RAM.Untuk mengizinkan pengguna RAM membeli produk langganan Alibaba Cloud, Anda harus memberikan izin
AliyunBSSOrderAccesskepada pengguna RAM.
Pengaturan umum
Menyiapkan super administrator
Operasi ini harus dilakukan oleh akun Alibaba Cloud atau pengguna RAM dengan kebijakan sistem AliyunRAMFullAccess.
Buka konsol RAM dan tambahkan izin AliyunBailianFullAccess (administrator Model Studio) dan
AliyunBSSOrderAccess(membeli produk langganan) untuk pengguna RAM.Setelah pengaturan selesai, pengguna tersebut dapat memberikan izin apa pun untuk wilayah mana pun dan ruang kerja mana pun kepada pengguna RAM mana pun, serta membeli produk langganan untuk Model Studio.
Menyiapkan administrator ruang kerja
Operasi ini harus dilakukan oleh super administrator atau administrator ruang kerja.
Buka halaman Permissions di panel navigasi sebelah kiri konsol Model Studio, tambahkan izin Administrator kepada pengguna RAM.
Menetapkan izin untuk pemanggilan model
Jika Anda tidak menggunakan Default workspace, pastikan izin pemanggilan model diaktifkan untuk model tertentu di ruang kerja tersebut. Operasi ini harus dilakukan oleh super administrator.
Untuk memanggil model dari konsol Model Studio, buka halaman Permissions di panel navigasi sebelah kiri konsol Model Studio, tambahkan izin berikut untuk pengguna RAM. Operasi ini harus dilakukan oleh super administrator atau administrator ruang kerja.
Izin ModelExperience-FullAccess untuk memanggil model di konsol.
Izin BatchInference-FullAccess untuk mendukung fitur inferensi batch.
Izin ModelObservation-FullAccess, yang memungkinkan Anda melihat konsumsi token dari pemanggilan dan evaluasi model.
Untuk memanggil model melalui API Model Studio, buat atau tetapkan kunci API untuk pengguna RAM di ruang kerja yang sesuai. Untuk informasi lebih lanjut, lihat izin kunci API. Operasi ini harus dilakukan oleh super administrator atau administrator ruang kerja.
Menetapkan izin API untuk fine-tuning model
Jika Anda tidak menggunakan Default workspace, pastikan izin fine-tuning model (pelatihan) diaktifkan untuk model tertentu di ruang kerja tersebut. Operasi ini harus dilakukan oleh super administrator.
Buat atau tetapkan kunci API untuk pengguna RAM di ruang kerja yang sesuai. Untuk informasi lebih lanjut, lihat izin kunci API. Operasi ini harus dilakukan oleh super administrator atau administrator ruang kerja.
FAQ
1. Bagaimana cara mendapatkan ID ruang kerja?
Lihat Dapatkan ID Ruang Kerja.
2. Bagaimana cara memanggil model di sub-ruang kerja?
Cukup gunakan kunci API dari sub-ruang kerja tersebut.
3. Bagaimana cara menggunakan aplikasi di ruang kerja tertentu?
Untuk menggunakan API guna mengelola dan memanggil aplikasi di ruang kerja tertentu, atur kedua ID Aplikasi dan ID Ruang Kerja.