Manajemen Izin - Platform For AI

Platform for AI (PAI) memerlukan dua aspek otorisasi: Otorisasi Pengguna RAM (mengaktifkan dan menggunakan layanan) serta otorisasi layanan (PAI mengakses layanan Alibaba Cloud lainnya).

Otorisasi Pengguna RAM

Akun Alibaba Cloud tidak memerlukan otorisasi tambahan. Pengguna RAM harus diberi otorisasi sebelum dapat masuk ke Konsol atau menggunakan API untuk mengakses sumber daya di bawah Akun Alibaba Cloud. Bagian ini menjelaskan cara memberikan otorisasi kepada Pengguna RAM dalam skenario penggunaan PAI melalui metode berikut:

Kelola izin Pengguna RAM melalui manajemen ruang kerja di PAI.
Tambahkan kebijakan sistem untuk Pengguna RAM: dengan cepat mendapatkan izin untuk mengakses PAI dan layanan dependennya melalui Konsol.
Tambahkan kebijakan kustom untuk Pengguna RAM.

Otorisasi Pengguna RAM untuk mengaktifkan PAI dan membeli sumber daya PAI

Untuk mengaktifkan PAI dan membeli sumber daya PAI, Anda perlu menambahkan kebijakan AliyunPAIFullAccess ke Pengguna RAM.

Catatan

Kebijakan AliyunPAIFullAccess memberikan izin yang luas. Kami menyarankan Anda menggunakan Akun Alibaba Cloud untuk operasi ini sebagai gantinya.

Otorisasi Pengguna RAM untuk menggunakan sub-layanan PAI

PAI menyediakan kemampuan untuk mengelola izin melalui ruang kerja. Anda dapat menambahkan Pengguna RAM sebagai anggota ruang kerja dan memberikan izin yang berbeda kepada akun RAM dengan peran anggota seperti Resource Administrator (Alibaba Cloud Account/through RAM Authorization), Workspace Administrator/Owner, Algorithm Developer, Algorithm O&M Engineer, Labeling Administrator, dan Visitor. Untuk izin peran, lihat Lampiran: Daftar Peran dan Izin.

Untuk iTAG, lihat Penugasan Personil iTAG untuk pengaturan izin lebih lanjut.
EAS menyediakan kebijakan sistem untuk mengotorisasi Pengguna RAM. Contohnya:
- Izin manajemen EAS: AliyunPAIEASFullAccess.
- Izin read-only EAS: AliyunPAIEASReadOnlyAccess.
Sebagian besar fitur AI Acceleration hanya memerlukan izin operasi dari layanan sub-pengembangan model, pelatihan, dan inferensi yang sesuai, tanpa otorisasi tambahan. Saat hanya menggunakan akselerasi dataset, akun RAM memerlukan izin AliyunPAIFullAccess dan AliyunDatasetAccFullAccess.

Otorisasi Pengguna RAM untuk mengaktifkan/menggunakan layanan cloud lainnya

Tabel berikut mencantumkan layanan lain yang PAI andalkan:

Lihat layanan cloud yang PAI andalkan

Sub-layanan PAI	Layanan cloud yang bergantung
iTAG	OSS
Designer	OSS, MaxCompute, Flink
DSW	OSS, NAS, VPC
DLC	OSS, NAS, VPC
AutoML	OSS, MaxCompute
EAS	OSS, API Gateway, SLS, VPC, Cloud Monitor
LangStudio	OSS, SLS, VPC, OpenTelemetry
Manajemen Aset AI	ACR

Catatan

Kami menyarankan menggunakan Akun Alibaba Cloud untuk mengaktifkan layanan cloud lainnya (tidak memerlukan otorisasi tambahan) dan mengontrol akses akun RAM ke layanan cloud lainnya melalui kebijakan RAM (lihat Otorisasi penggunaan akun RAM pada tabel di bawah).

Jika Pengguna RAM Anda telah ditambahkan sebagai anggota ruang kerja, mereka akan memiliki sebagian izin untuk layanan cloud lainnya berdasarkan peran yang ditetapkan. Jika Anda mengalami masalah izin saat mengaktifkan atau menggunakan layanan cloud lainnya, Anda dapat merujuk pada tabel berikut untuk operasi otorisasi.

Contoh: Untuk menggunakan Pengguna RAM untuk mengaktifkan OSS, Anda perlu menambahkan kebijakan sistem AliyunOSSFullAccess ke Pengguna RAM. Jika Anda mengalami masalah izin saat menggunakan OSS, Anda dapat merujuk pada Kebijakan RAM OSS untuk otorisasi RAM.

Layanan cloud yang bergantung	Kebijakan yang diperlukan untuk aktivasi	Otorisasi penggunaan akun RAM	Panduan operasi
OSS	AliyunOSSFullAccess	Kebijakan RAM OSS	Aktivasi: Aktifkan layanan OSS Operasi umum: Buat bucket di konsol
MaxCompute	AliyunBSSOrderAccess, AliyunDataWorksFullAccess	Tambahkan peran MaxCompute Developer untuk akun RAM di ruang kerja. Untuk informasi lebih lanjut, lihat Buat dan kelola ruang kerja.	Aktivasi: Aktifkan MaxCompute Operasi umum: Buat proyek MaxCompute, Asosiasikan MaxCompute sebagai sumber daya komputasi ruang kerja
Flink	AliyunStreamFullAccess	Otorisasi Konsol Manajemen	Aktivasi: Aktifkan versi Flink komputasi waktu nyata
NAS	AliyunNASFullAccess	Kontrol izin akses NAS menggunakan kebijakan RAM	Otorisasi Pengguna RAM: Kontrol izin akses NAS menggunakan kebijakan RAM Operasi umum: Buat sistem file NAS
API Gateway	AliyunApiGatewayFullAccess	Gunakan RAM untuk mengelola API
SLS	AliyunLogFullAccess	Aturan otentikasi SLS	Aktivasi: Memulai Cepat: Kumpulkan dan analisis log teks ECS menggunakan Logtail Operasi umum: Kelola Proyek, Buat penyimpanan log
VPC	AliyunVPCFullAccess	Informasi otorisasi VPC	Operasi umum: Buat dan kelola virtual private clouds, Buat dan kelola vSwitches
Cloud Monitor	AliyunCloudMonitorFullAccess	Informasi otorisasi Cloud Monitor	Operasi umum: Langkah 1: Konfigurasikan kontak peringatan, Langkah 2: Konfigurasikan aturan peringatan
OpenTelemetry	AliyunARMSFullAccess	Implementasikan pemisahan izin menggunakan Pengguna RAM	Aktivasi: Memulai Cepat
ACR	AliyunContainerRegistryFullAccess	Informasi otorisasi RAM ACR	Operasi umum: Bangun citra menggunakan Instans Perusahaan

Otorisasi PAI untuk mengakses layanan cloud lainnya

Otorisasi biasanya selesai saat PAI diaktifkan. Jika ada operasi otorisasi yang terlewat selama aktivasi, Anda akan diminta untuk memberikan otorisasi saat dibutuhkan di antarmuka operasi berikutnya. Anda juga dapat merujuk pada langkah-langkah berikut untuk memeriksa status otorisasi. Mengambil contoh Designer mengakses OSS:

Masuk ke Konsol PAI.
Di panel navigasi di sebelah kiri, klik Activation & Authorization > Dependent Services, dan temukan OSS di bawah modul fungsi Designer.
Periksa status otorisasi OSS di kolom Actions.
- Jika belum diotorisasi, klik Authorize di kolom Actions dan ikuti petunjuk untuk menyelesaikan otorisasi.
- Jika otorisasi sudah selesai, klik View Authorization Information di kolom Actions untuk melihat detail.

Sub-layanan PAI mengakses layanan cloud lainnya melalui dua metode: peran layanan reguler dan peran layanan terkait layanan. Halaman "Layanan Dependen" saat ini tidak mencakup semua situasi. Anda juga dapat merujuk pada pengenalan setiap sub-layanan sesuai kebutuhan:

Ruang Kerja: Lampiran: Peran layanan terkait ruang kerja PAI
EAS: Peran layanan terkait umum EAS, Peran layanan terkait sumber daya mandiri EAS
LangStudio: Otorisasi akun layanan PAI
DLC: Otorisasi akun layanan PAI
DSW: Otorisasi akun layanan PAI
DatasetAccelerator: Berikan izin manajemen akselerator dataset kepada Pengguna RAM

Lampiran

Tambahkan kebijakan ke Pengguna RAM (seperti AliyunPAIFullAccess)

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan Pengguna RAM yang diperlukan, dan klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa Pengguna RAM dan klik Add Permissions di bagian bawah halaman untuk memberikan izin kepada Pengguna RAM sekaligus.
Di panel Grand Permission, tambahkan izin untuk Pengguna RAM. Di mana:
- Resource Scope: Pilih Account.
- Policy: Pilih tab System Policy dan kebijakan AliyunPAIFullAccess.
  Penting
  Pengguna RAM dengan kebijakan sistem ini dapat membeli, membuat, dan menghapus semua jenis sumber daya serta memiliki izin administrator di semua ruang kerja. Lanjutkan dengan hati-hati.
  Anda dapat merujuk pada Buat kebijakan kustom untuk menetapkan kebijakan minimum yang tersedia untuk Pengguna RAM.
Klik Grant permissions.
Klik Close.

Buat kebijakan kustom

Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi di sebelah kiri, pilih Permissions > Policies
Klik Create Policy dan pilih tab JSON dan konfigurasikan kebijakan berikut (memberikan izin kepada Pengguna RAM untuk melihat daftar semua layanan model EAS di akun).
Penting
Saat menentukan dokumen kebijakan, kami sarankan Anda mengikuti prinsip hak istimewa minimal.
```
{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eas:ListServices"
            ],
            "Resource": "*"
        }
    ]
}
```

Untuk informasi lebih lanjut, lihat Buat kebijakan kustom dalam mode editor skrip.