Pengelolaan izin - Alibaba Cloud Model Studio

Berbagi Akun Alibaba Cloud secara langsung untuk kolaborasi tim menciptakan risiko keamanan. Sebagai gantinya, buat Pengguna Manajemen Akses Sumber Daya (RAM) dan berikan izin detail halus kepada setiap pengguna. Izin ini mendefinisikan ruang kerja yang dapat mereka akses, fitur yang dapat digunakan, serta model yang dapat dipanggil.

Ruang Kerja: Jika sebuah Akun Alibaba Cloud memiliki beberapa layanan atau proyek yang menggunakan Alibaba Cloud Model Studio, bagi mereka menjadi ruang kerja terpisah. Ini memungkinkan manajemen terpisah seperti kontrol pemanggilan model dan isolasi aplikasi serta data untuk setiap ruang kerja. Untuk informasi lebih lanjut, lihat Manajemen Ruang Kerja.

Konsep inti

Untuk mengonfigurasi izin dengan benar, pahami jenis akun berikut:

Akun Alibaba Cloud: Akun utama yang memiliki semua izin untuk Model Studio. Akun ini dapat membuat dan mengelola Pengguna RAM serta memberikan izin kepada mereka.
Pengguna RAM: Akun sub yang biasanya dibuat oleh Akun Alibaba Cloud. Pengguna RAM harus diberikan izin oleh Akun Alibaba Cloud sebelum dapat menggunakan dan mengelola Model Studio. Pelajari lebih lanjut tentang Pengguna RAM

Meskipun menggunakan Akun Alibaba Cloud itu nyaman, demi keamanan, kami menyarankan Pengguna RAM dengan izin yang dikonfigurasi dengan benar. Pengguna RAM dapat diberikan empat jenis izin berikut:

Izin Anggota: Pengguna RAM hanya memiliki akses read-only ke halaman dan data dalam ruang kerja yang telah mereka gabung. Izin ini tidak termasuk administrasi sistem, pengelolaan izin, dan manajemen kunci. Cara bergabung dengan ruang kerja
Izin Operasi: Untuk melakukan operasi tulis, seperti membuat, menghapus, dan mengedit, pada halaman dalam ruang kerja mereka, Pengguna RAM harus mendapatkan izin operasi untuk halaman yang sesuai.
Izin API: Untuk memanggil API untuk fitur seperti data aplikasi, basis pengetahuan, dan rekayasa prompt, Pengguna RAM harus mendapatkan izin untuk API yang sesuai.
Izin Manajemen: Untuk menggunakan Pengguna RAM untuk mengaktifkan fitur dan membayar pesanan langganan di Model Studio, atau untuk mengakses halaman Administrasi Sistem guna mengelola ruang kerja, anggota, dan Kunci API di bawah Akun Alibaba Cloud, pengguna harus mendapatkan izin manajemen global.
Penting
Izin manajemen tidak termasuk akses ke ruang kerja tertentu. Untuk mengakses ruang kerja, pengguna juga harus mendapatkan izin anggota untuk ruang kerja tersebut.

Contoh Inti

1. Saya adalah anggota proyek

Skenario: Gunakan Pengguna RAM user-01 untuk mengembangkan aplikasi AI dalam ruang kerja bernama Proyek A.

Prosedur:

(Gunakan Akun Alibaba Cloud) Buat ruang kerja: Di Konsol Model Studio, buat ruang kerja bernama Proyek A. Cara membuat ruang kerja
Jika Anda sudah memilikinya, lewati langkah ini.
(Gunakan Akun Alibaba Cloud) Buat Pengguna RAM: Di Konsol RAM, buat Pengguna RAM bernama user-01. Cara membuat Pengguna RAM
Jika pengguna belum bergabung ke ruang kerja mana pun, pesan berikut akan muncul saat mereka masuk ke Model Studio: Anda tidak memiliki izin akses ke ruang kerja ini.
(Gunakan Akun Alibaba Cloud) Konfigurasikan izin anggota dan operasi: Tambahkan pengguna baru user-01 ke ruang kerja dan berikan izin operasi untuk halaman terkait model dan aplikasi.
(Gunakan Pengguna RAM) Masuk dan verifikasi: user-01 masuk ke Konsol Model Studio dan mulai menggunakan layanan.

2. Saya adalah administrator

Skenario: Gunakan Pengguna RAM admin-01 untuk mengelola semua ruang kerja dalam suatu akun Alibaba Cloud, seperti membuat atau menghapus ruang kerja serta mengelola anggota dan Kunci API mereka. Namun, pengguna RAM ini tidak memerlukan izin untuk mengakses ruang kerja tersebut.

Prosedur:

(Gunakan Akun Alibaba Cloud) Buat Pengguna RAM: Di Konsol RAM, buat Pengguna RAM bernama admin-01.
(Gunakan Akun Alibaba Cloud) Konfigurasikan izin manajemen: Berikan izin manajemen kepada admin-01.
Izin manajemen tidak termasuk akses ke ruang kerja tertentu. Untuk mengakses ruang kerja, lihat Contoh 1.
(Gunakan Pengguna RAM) Masuk dan verifikasi: admin-01 masuk ke Konsol Model Studio untuk mulai mengelola sumber daya. Untuk informasi lebih lanjut, lihat Manajemen Ruang Kerja dan Manajemen Anggota.

Alur permintaan izin

Pengguna RAM dan Peran RAM dapat mengikuti instruksi dalam bagian ini untuk mendapatkan izin yang diperlukan guna sepenuhnya mengakses dan menggunakan Model Studio.

Peran RAM: Beberapa Pengguna RAM dapat mengasumsikan peran yang telah ditentukan sebelumnya untuk mendapatkan serangkaian izin seragam guna menggunakan Model Studio.

Menggunakan Pengguna RAM

Langkah	Deskripsi
Langkah 1: Bergabung dengan ruang kerja	Pengguna RAM harus terlebih dahulu bergabung dengan ruang kerja untuk mendapatkan izin read-only untuk sumber daya dan data di ruang kerja tersebut. Setelah anggota ditambahkan, izin biasanya berlaku dalam beberapa detik, meskipun mungkin ada sedikit penundaan selama jam sibuk. Setelah efektif, Pengguna RAM dapat masuk ke ruang kerja yang diizinkan.
Langkah 2: Dapatkan izin operasi	Dalam ruang kerja yang telah bergabung, Pengguna RAM memiliki izin read-only (seperti melihat) untuk semua halaman fitur secara default, kecuali untuk administrasi sistem, pengelolaan izin, dan manajemen kunci. "Operasi" merujuk pada izin tulis tambahan (seperti membuat, menghapus, dan mengedit). Penting Tentang otorisasi model (untuk anggota sub-ruang kerja) Anggota ruang kerja default tidak memerlukan otorisasi model dan dapat melewati catatan ini. Apakah anggota sub-ruang kerja (ruang kerja non-default) dapat memanggil model bergantung pada apakah ruang kerja memiliki izin panggilan untuk model tersebut. Untuk informasi lebih lanjut, lihat Otorisasi Model. Jika ruang kerja telah diberikan izin ini, Anda tidak perlu memberikannya lagi.
Langkah 3: Dapatkan izin API	Untuk memanggil API untuk fitur seperti data aplikasi, basis pengetahuan, dan rekayasa prompt, Pengguna RAM harus mendapatkan izin API.
Langkah 4 (Opsional): Dapatkan izin manajemen	Jika Pengguna RAM perlu mengaktifkan fitur, membayar pesanan langganan dalam ruang kerja mereka, atau melakukan manajemen global di seluruh ruang kerja (seperti mengelola semua ruang kerja, anggota, dan Kunci API), mereka harus mendapatkan izin manajemen.
Langkah berikutnya	Mulai menggunakan Model Studio

Menggunakan Peran RAM

Langkah	Deskripsi
Langkah 1: Bergabung dengan ruang kerja	Peran RAM harus terlebih dahulu bergabung dengan ruang kerja untuk mendapatkan izin read-only untuk sumber daya dan data di ruang kerja tersebut. Untuk informasi lebih lanjut, lihat Langkah 1 hingga 4 di Masuk dan gunakan Model Studio sebagai Peran RAM. Setelah anggota ditambahkan, izin biasanya berlaku dalam beberapa detik, meskipun mungkin ada sedikit penundaan selama jam sibuk. Setelah efektif, Pengguna RAM dapat masuk ke ruang kerja yang diizinkan dengan mengasumsikan Peran RAM.
Langkah 2: Dapatkan izin operasi	Dalam ruang kerja yang telah bergabung, Peran RAM memiliki izin read-only (seperti melihat) untuk semua halaman fitur secara default, kecuali untuk administrasi sistem, pengelolaan izin, dan manajemen kunci. "Operasi" merujuk pada izin tulis tambahan (seperti membuat, menghapus, dan mengedit). Untuk informasi lebih lanjut, lihat Langkah 4 di Masuk dan gunakan Model Studio sebagai Peran RAM. Penting Tentang otorisasi model (untuk anggota sub-ruang kerja) Anggota ruang kerja default tidak memerlukan otorisasi model dan dapat melewati catatan ini. Apakah anggota sub-ruang kerja (ruang kerja non-default) dapat memanggil model bergantung pada apakah ruang kerja memiliki izin panggilan untuk model tersebut. Untuk informasi lebih lanjut, lihat Otorisasi Model. Jika ruang kerja telah diberikan izin ini, Anda tidak perlu memberikannya lagi.
Langkah 3: Dapatkan izin API	Untuk memanggil API untuk fitur seperti data aplikasi, basis pengetahuan, dan rekayasa prompt, Peran RAM harus mendapatkan izin API. Untuk informasi lebih lanjut, lihat Langkah 5 di Masuk dan gunakan Model Studio sebagai Peran RAM.
Langkah 4 (Opsional): Dapatkan izin manajemen	Jika Peran RAM perlu mengaktifkan fitur, membayar pesanan langganan dalam ruang kerjanya, atau melakukan manajemen global di seluruh ruang kerja (seperti mengelola semua ruang kerja, anggota, dan Kunci API), ia harus mendapatkan izin manajemen. Untuk informasi lebih lanjut, lihat Langkah 6 di Masuk dan gunakan Model Studio sebagai Peran RAM.
Langkah Berikutnya	Mulai menggunakan Model Studio

Mulai beroperasi

Prinsip hak istimewa minimal: Berikan hanya izin minimum yang diperlukan untuk menyelesaikan tugas. Misalnya, pengembang yang hanya membutuhkan izin operasi untuk fitur di ruang kerja tertentu tidak boleh diberikan izin manajemen.
Gunakan Pengguna RAM untuk operasi sehari-hari: Gunakan Akun Alibaba Cloud hanya untuk otorisasi dan manajemen biaya. Lakukan semua tugas sehari-hari, seperti pengembangan aplikasi AI dan pemanggilan model, menggunakan Pengguna RAM.
Gunakan ruang kerja untuk mengisolasi lingkungan: Buat ruang kerja terpisah untuk proyek, tim, atau lingkungan yang berbeda, seperti pengembangan, pengujian, dan produksi, untuk menegakkan isolasi izin dan data yang ketat.
Audit izin secara berkala: Tinjau izin Pengguna RAM secara berkala. Hapus izin yang tidak lagi diperlukan atau hapus akun anggota pengguna yang telah meninggalkan tim.

FAQ

Mengapa saya tidak bisa menemukan titik masuk untuk membuat ruang kerja atau mengelola akun?

Fitur-fitur ini ada di halaman Administrasi Sistem (Singapura atau Beijing). Untuk mengakses halaman ini, Anda harus terlebih dahulu mendapatkan izin manajemen.

Bagaimana cara melihat tagihan saya saat menggunakan Pengguna RAM atau Peran RAM?

Pengguna RAM dan Peran RAM saat ini tidak dapat melihat tagihan untuk produk tertentu. Untuk melihat tagihan untuk semua produk, Akun Alibaba Cloud harus memberikan kebijakan sistem AliyunBSSReadOnlyAccess kepada Pengguna RAM atau Peran RAM di Konsol RAM. Untuk prosedur spesifik, Pengguna RAM dapat melihat Berikan izin kepada Pengguna RAM, dan Peran RAM dapat melihat Berikan izin kepada Peran RAM.

Apa yang harus dilakukan jika saya mengalami kesalahan bss:PayOrder saat membayar pesanan langganan Alibaba Cloud Model Studio?

Secara default, Pengguna RAM tidak memiliki izin untuk membayar pesanan langganan. Untuk memberikan izin ini, Akun Alibaba Cloud harus memberikan Pengguna RAM atau Peran RAM izin manajemen dan kebijakan sistem AliyunBSSOrderAccess. Untuk prosedur otorisasi, Pengguna RAM dapat melihat Berikan izin kepada Pengguna RAM, dan Peran RAM dapat melihat Berikan izin kepada Peran RAM.

Jika Pengguna RAM atau Peran RAM sudah memiliki kebijakan sistem AdministratorAccess, apakah saya masih perlu mengonfigurasi izin manajemen (kebijakan AliyunBailianFullAccess)?

Kebijakan AdministratorAccess sudah mencakup kebijakan AliyunBailianFullAccess. Pengguna RAM atau Peran RAM dengan kebijakan AdministratorAccess sudah memiliki izin manajemen global dan tidak memerlukan konfigurasi tambahan.

Apa yang harus dilakukan jika saya mengalami kesalahan izin AliyunSFMFullAccess/AliyunBailianFullAccess untuk Pengguna RAM?

Akun Alibaba Cloud harus memberikan kebijakan sistem AliyunBailianFullAccess kepada Pengguna RAM atau Peran RAM. Untuk prosedur spesifik, Pengguna RAM dapat melihat Izin Manajemen, dan Peran RAM dapat melihat Berikan izin manajemen kepada Peran RAM.

Apa yang harus dilakukan jika saya mengalami kesalahan NoPermission, sfm:GetRetrievePromptPipelineMaxLimit?

Akun Alibaba Cloud harus memberikan kebijakan sistem AliyunBailianDataFullAccess kepada Pengguna RAM atau Peran RAM. Kebijakan AliyunBailianDataReadOnlyAccess tidak cukup. Untuk prosedur spesifik, Pengguna RAM dapat melihat Izin API, dan Peran RAM dapat melihat Berikan izin API kepada Peran RAM.

Saat menggunakan Pengguna RAM atau Peran RAM, izin RAM apa yang diperlukan untuk mengaktifkan fitur seperti pemanggilan model untuk pertama kalinya, atau untuk membayar pesanan langganan?

Fitur	Izin yang Diperlukan
Pemanggilan Model	Akun Alibaba Cloud perlu memberikan kebijakan sistem `AliyunBailianFullAccess` kepada Pengguna RAM atau Peran RAM. Untuk prosedur spesifik, Pengguna RAM dapat melihat Izin Manajemen, dan Peran RAM dapat melihat Berikan izin manajemen kepada Peran RAM.
Bayar pesanan langganan	Akun Alibaba Cloud perlu memberikan kebijakan sistem `AliyunBSSOrderAccess` dan `AliyunBailianFullAccess` kepada Pengguna RAM atau Peran RAM. Untuk prosedur spesifik, Pengguna RAM dapat melihat Berikan izin kepada Pengguna RAM, dan Peran RAM dapat melihat Berikan izin kepada Peran RAM.