Buat kebijakan RAM kustom untuk memberikan izin detail halus kepada pengguna RAM dalam membuat, memperbarui, menghapus, atau melakukan scaling terhadap sumber daya komputasi AI di PAI.
Informasi latar belakang
Izin RAM mengontrol manajemen sumber daya cloud-native dan kuota sumber daya. Sumber daya cloud-native mencakup sumber daya komputasi umum serta sumber daya komputasi cerdas Lingjun.
Kolam sumber daya
Kolam sumber daya berisi sumber daya komputasi yang telah dibeli untuk pengembangan AI dalam kelompok sumber daya khusus (ResourceGroup).
Untuk informasi selengkapnya, lihat Ikhtisar.
Kuota sumber daya
Kuota sumber daya merupakan bagian dari sumber daya komputasi AI yang berasal dari kolam sumber daya. Setelah kuota sumber daya dikaitkan dengan ruang kerja, anggota ruang kerja dapat menggunakan sumber daya tersebut untuk pengembangan AI dan penerapan layanan online. Untuk informasi selengkapnya, lihat Ikhtisar.
Kuota sumber daya mengikuti struktur pohon, seperti yang ditunjukkan pada gambar berikut. Kuota sumber daya yang dibuat dari kolam sumber daya disebut kuota sumber daya akar. Setiap kuota sumber daya akar dapat dibagi menjadi beberapa kuota sumber daya anak, dan setiap kuota anak tersebut dapat dibagi lebih lanjut.
Prosedur
-
Buat pengguna RAM. Untuk informasi selengkapnya, lihat Buat pengguna RAM.
-
Buat kebijakan kustom. Untuk informasi selengkapnya, lihat bagian "Buat kebijakan kustom pada tab JSON" dalam Buat kebijakan kustom.
Untuk izin yang diberikan oleh berbagai kebijakan kustom, lihat Contoh.
-
Lampirkan kebijakan kustom ke pengguna RAM. Untuk informasi selengkapnya, lihat Berikan izin kepada pengguna RAM.
Contoh
Izin manajemen kolam sumber daya
Pengguna RAM dengan izin manajemen kolam sumber daya dapat melihat, membuat, memperbarui, dan menghapus kelompok sumber daya khusus dalam kolam sumber daya.
Kebijakan contoh:
Untuk memberikan izin manajemen kolam sumber daya kepada pengguna RAM, berikan juga izin Virtual Private Cloud (VPC). Konfigurasi VPC diperlukan saat membuat kelompok sumber daya khusus pada halaman Kolam Sumber Daya di Konsol PAI.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pai:*ResourceGroup*"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"ecs:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}Izin pembuatan, scaling, dan penghapusan kuota sumber daya akar
Kuota sumber daya akar (tingkat pertama) memperoleh sumber daya komputasi dari kelompok sumber daya terkait dalam kolam sumber daya. Satu atau beberapa kelompok sumber daya dapat dipilih. Oleh karena itu, pembuatan atau scaling kuota sumber daya akar memerlukan izin baik untuk kolam sumber daya maupun kuota sumber daya.
Kebijakan contoh berikut mendefinisikan izin Get, List, dan Update untuk tiga kolam sumber daya: resourcegroup1, resourcegroup2, dan resourcegroup3. Pengguna RAM yang diotorisasi hanya dapat membuat kuota sumber daya akar dengan mengalokasikan sumber daya dari ketiga kolam sumber daya tersebut.
"acs:pai:*:*:quota/*" menunjukkan bahwa pengguna dengan kebijakan ini dapat mengoperasikan seluruh pohon kuota sumber daya, tetapi sumber dayanya dibatasi hanya pada kelompok sumber daya khusus resourcegroup1, resourcegroup2, dan resourcegroup3.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pai:GetResourceGroup",
"pai:ListResourceGroups",
"pai:UpdateResourceGroup"
],
"Resource": [
"acs:pai:*:*:resourcegroup/resourcegroup1",
"acs:pai:*:*:resourcegroup/resourcegroup2",
"acs:pai:*:*:resourcegroup/resourcegroup3"
]
},
{
"Effect": "Allow",
"Action": [
"pai:CreateQuota",
"pai:UpdateQuota",
"pai:ScaleQuota",
"pai:DeleteQuota",
"pai:GetQuota",
"pai:ListQuotas"
],
"Resource": [
"acs:pai:*:*:quota/*"
]
}
]
}Izin manajemen kuota sumber daya akar
Manajemen kuota sumber daya akar tidak memerlukan izin kolam sumber daya. Sebagai contoh, pengguna RAM dengan izin manajemen quota1 dapat melakukan operasi berikut:
-
Lihat quota1.
-
Memperbarui metadata quota1, seperti tag dan deskripsi.
-
Mengelola kuota sumber daya anak dari quota1: membuat, memperbarui, melakukan scaling, dan menghapus.
Kebijakan untuk quota1 berisi dua Statement. Statement pertama mendefinisikan izin untuk pohon kuota sumber daya yang berakar pada quota1. Statement kedua mendefinisikan izin untuk quota1 itu sendiri.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pai:CreateQuota",
"pai:UpdateQuota",
"pai:ScaleQuota",
"pai:DeleteQuota",
"pai:GetQuota",
"pai:ListQuotas"
],
"Resource": [
"acs:pai:*:*:quota/quota1/*"
]
},
{
"Effect": "Allow",
"Action": [
"pai:UpdateQuota",
"pai:GetQuota",
"pai:ListQuotas"
],
"Resource": [
"acs:pai:*:*:quota/quota1"
]
}
]
}Izin manajemen kuota sumber daya anak
Sebagai contoh, pengguna RAM dengan izin manajemen quota1.2 dapat melakukan operasi berikut:
-
View quota1.2.
-
Memperbarui metadata quota1.2, seperti tag dan deskripsi.
-
Mengelola kuota sumber daya anak dari quota1.2: membuat, memperbarui, melakukan scaling, dan menghapus.
Kebijakan untuk mengelola quota1.2 berisi dua Statement: yang pertama mendefinisikan izin untuk pohon kuota sumber daya yang berakar pada quota1.2, dan yang kedua mendefinisikan izin untuk quota1.2 itu sendiri.
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pai:CreateQuota",
"pai:UpdateQuota",
"pai:ScaleQuota",
"pai:DeleteQuota",
"pai:GetQuota",
"pai:ListQuotas"
],
"Resource": [
"acs:pai:*:*:quota/*/quota1.2/*"
]
},
{
"Effect": "Allow",
"Action": [
"pai:UpdateQuota",
"pai:GetQuota",
"pai:ListQuotas"
],
"Resource": [
"acs:pai:*:*:quota/*/quota1.2"
]
}
]
}Izin VPC
Jika Anda membeli sumber daya Lingjun di wilayah Tiongkok (Ulanqab), konfigurasi VPC tersedia saat membuat kuota sumber daya akar dan anak di Konsol PAI. Tambahkan izin VPC ke kebijakan terkait kuota. Kebijakan contoh:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches",
"ecs:DescribeSecurityGroups"
],
"Resource": "*"
}
]
}