Mengizinkan izin kepada LangStudio dari PAI - Platform For AI

Saat pertama kali menggunakan LangStudio dari Platform for AI (PAI), Anda harus menetapkan peran layanan ke LangStudio agar dapat mengakses sumber daya yang diperlukan dan mengaktifkan layanan cloud terkait. Topik ini menjelaskan layanan cloud yang digunakan oleh LangStudio serta izin yang diperlukan.

Pengenalan

Jika Anda ingin menggunakan akun operasi untuk mengelola LangStudio, pastikan memberikan izin kepada akun tersebut sebelum memulai. Jika Anda ingin memberikan izin berbeda kepada pengguna RAM, PAI memungkinkan Anda memberikan izin terperinci kepada pengguna RAM melalui ruang kerja. LangStudio menggunakan Object Storage Service (OSS) untuk menyimpan file di backend, Simple Log Service dan Managed Service for OpenTelemetry untuk pengembangan dan debugging alur aplikasi, serta Elastic Algorithm Service (EAS) dari PAI untuk menerapkan alur aplikasi. Oleh karena itu, Anda harus memberikan Akun Alibaba Cloud Anda izin untuk mengakses layanan cloud ini. Untuk informasi lebih lanjut, lihat bagian berikut:

Memberikan Izin kepada Akun Operasi
LangStudio menyediakan kemampuan pengembangan aplikasi model bahasa besar (LLM) satu atap, yang bergantung pada Layanan Alibaba Cloud seperti OSS, Simple Log Service, Managed Service for OpenTelemetry, dan EAS dari PAI. Pastikan Anda memberikan LangStudio izin untuk mengakses layanan cloud ini.
Memberikan Izin kepada Akun Alibaba Cloud Anda dari PAI
Bagian berikut menjelaskan cara memberikan izin kepada akun Alibaba Cloud Anda untuk menggunakan LangStudio.

Memberikan izin kepada akun operasi

LangStudio bergantung pada layanan cloud berikut. Pastikan Anda memberikan izin kepada akun operasi Anda agar dapat mengakses layanan ini.

Modul PAI: LangStudio

Akun operasi

Skenario

Tautan Panduan Operasi

Akun Alibaba Cloud

Anda dapat menggunakan akun Alibaba Cloud untuk melakukan operasi pada LangStudio. Tidak diperlukan otorisasi tambahan.

T/A

Pengguna RAM

(Direkomendasikan)

PAI menyediakan peran anggota yang berbeda. Anda dapat mengasumsikan peran anggota yang berbeda kepada pengguna RAM untuk manajemen izin yang nyaman. Untuk informasi lebih lanjut tentang izin setiap peran, lihat Daftar Peran dan Izin - LangStudio.

Kelola anggota ruang kerja

OSS: Menyimpan kode, file konfigurasi, log pengembangan dan debugging, serta file snapshot saat menerapkan layanan.

Skenario

Deskripsi

Tautan Panduan Operasi

Aktifkan OSS

Kami merekomendasikan Anda menggunakan akun Alibaba Cloud untuk mengaktifkan OSS. Tidak diperlukan otorisasi tambahan. Jika Anda ingin menggunakan pengguna RAM untuk mengaktifkan OSS, lampirkan kebijakan AliyunOSSFullAccess ke pengguna RAM.

Aktifkan OSS: Panduan Cepat Konsol
Berikan izin kepada pengguna RAM: Kebijakan RAM
Operasi umum: Panduan Cepat Konsol

Gunakan OSS

Jika Anda menggunakan OSS:

Otorisasi: OSS menyediakan kebijakan kontrol RAM yang rinci. Anda dapat memberikan izin kepada pengguna RAM sesuai kebutuhan.
Operasi umum: Anda perlu membuat bucket untuk mengunggah objek ke OSS.

Managed Service for OpenTelemetry: Menyediakan analisis jejak selama pengembangan dan penerapan alur aplikasi LLM.

Skenario

Deskripsi

Panduan Operasi

Aktifkan Managed Service for OpenTelemetry

Kami merekomendasikan Anda menggunakan akun Alibaba Cloud untuk mengaktifkan Managed Service for OpenTelemetry. Tidak diperlukan otorisasi tambahan. Jika Anda ingin menggunakan pengguna RAM untuk mengaktifkan Managed Service for OpenTelemetry, lampirkan kebijakan AliyunARMSFullAccess ke pengguna RAM.

Aktifkan Managed Service for OpenTelemetry: Panduan Cepat
Berikan izin kepada pengguna RAM: Gunakan pengguna RAM untuk mengimplementasikan pemisahan izin

Gunakan Managed Service for OpenTelemetry

Anda dapat melihat log analisis jejak yang dihasilkan selama pengembangan, debugging, atau penerapan layanan di Konsol LangStudio atau Konsol Managed Service for OpenTelemetry.

Layanan Log Sederhana (bergantung secara tidak langsung dan diperlukan oleh Managed Service for OpenTelemetry): Menyimpan data log Managed Service for OpenTelemetry.

Skenario	Deskripsi	Tautan Panduan Operasi
Aktifkan Layanan Log Sederhana	Kami merekomendasikan Anda menggunakan akun Alibaba Cloud untuk mengaktifkan Layanan Log Sederhana. Tidak diperlukan otorisasi tambahan. Jika Anda ingin menggunakan pengguna RAM untuk mengaktifkan Layanan Log Sederhana, lampirkan kebijakan AliyunLogFullAccess ke pengguna RAM.	Aktifkan Simple Log Service: Deskripsi hierarki sumber daya penyimpanan Berikan izin kepada pengguna RAM: Buat dan otorisasi pengguna RAM

Virtual Private Cloud: Selama penerapan layanan alur aplikasi, sistem meminta informasi konfigurasi virtual private cloud (VPC) untuk menerapkan layanan EAS dengan benar.

Skenario	Deskripsi	Panduan Operasi
Aktifkan VPC	Kami merekomendasikan Anda menggunakan akun Alibaba Cloud untuk mengaktifkan VPC. Tidak diperlukan otorisasi tambahan. Jika Anda ingin menggunakan pengguna RAM untuk mengaktifkan VPC, lampirkan kebijakan AliyunVPCFullAccess ke pengguna RAM.	Aktifkan VPC: Buat dan kelola VPC Berikan izin kepada pengguna RAM: Gunakan RAM untuk kontrol akses

PAI: Memungkinkan Anda mengakses ruang kerja PAI dan modul PAI.

Skenario

Deskripsi

Tautan Panduan Operasi

Aktifkan PAI

Kami merekomendasikan Anda menggunakan akun Alibaba Cloud untuk mengaktifkan PAI. Tidak diperlukan otorisasi tambahan. Jika Anda ingin menggunakan pengguna RAM untuk mengaktifkan PAI, lampirkan kebijakan AliyunPAIFullAccess ke pengguna RAM.

Aktifkan PAI: Aktifkan PAI dan buat ruang kerja default
Berikan izin kepada pengguna RAM: Masuk sebagai peran RAM dan gunakan PAI

DataWorks: Pembaruan terjadwal untuk basis pengetahuan bergantung pada DataWorks. Untuk menggunakan fitur ini, aktifkan DataWorks dan berikan izin kepada akun operasi.

Skenario

Deskripsi

Panduan Operasi

Aktifkan DataWorks

Kami merekomendasikan Anda menggunakan Akun Alibaba Cloud untuk mengaktifkan DataWorks. Tidak diperlukan otorisasi tambahan. Jika Anda ingin menggunakan pengguna RAM untuk mengaktifkan DataWorks, sambungkan kebijakan AliyunDataWorksFullAccess ke pengguna RAM.

Aktifkan DataWorks: Aktifkan DataWorks
Berikan izin kepada pengguna RAM: Praktik terbaik: Panduan otorisasi untuk pengguna RAM

Memberikan izin kepada akun Alibaba Cloud Anda dari PAI

Berikan izin kepada akun Alibaba Cloud Anda untuk menggunakan LangStudio

Pertama kali Anda mengaktifkan LangStudio, Anda harus memberikan Akun Alibaba Cloud Anda izin untuk menggunakannya. Ikuti langkah-langkah berikut:

Masuk ke Konsol PAI. Di panel kanan, pilih ruang kerja yang diinginkan dan klik Enter LangStudio.
Berikan izin kepada akun Alibaba Cloud Anda untuk mengakses layanan cloud.
1. Klik Authorize.
2. Di halaman Otorisasi Cepat, klik Konfirmasi Otorisasi, dan ikuti petunjuk untuk menyelesaikan verifikasi keamanan.
  Di halaman Otorisasi Cepat, sistem menetapkan peran layanan terkait ke Akun Alibaba Cloud Anda. Tidak diperlukan pemberian izin manual.
Sebelum menggunakan LangStudio, klik Activate For Free untuk mengaktifkan Object Storage Service (OSS), Simple Log Service, dan Managed Service for OpenTelemetry.

Referensi 1: Modifikasi kebijakan otorisasi peran layanan LangStudio

Penting

Pastikan Anda memahami kebijakan RAM untuk mencegah LangStudio menjadi tidak tersedia akibat operasi yang salah.

Jika Anda memerlukan kontrol lebih rinci atas otorisasi akses sumber daya cloud, Anda dapat menyesuaikan kebijakan izin untuk peran AliyunPAILangStudioDefaultRole yang diotorisasi di Konsol RAM. Contoh berikut menjelaskan cara memodifikasi kebijakan akses untuk OSS guna memberikan otorisasi lebih rinci ke peran server default untuk LangStudio:

Lihat kebijakan default peran layanan AliyunPAILangStudioDefaultRole.

Masuk ke Konsol RAM. Di panel navigasi kiri, pilih Identities > Roles.
Di halaman Peran, masukkan AliyunPAILangStudioDefaultRole di kotak pencarian dan klik ikon pencarian untuk mencari peran layanan. Kemudian, klik nama peran layanan.

Di tab Permissions halaman detail peran layanan, klik nama kebijakan. Di halaman yang muncul, Anda dapat melihat dan menyalin isi kebijakan default.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "eas:CreateService",
        "eas:ListServices",
        "eas:DescribeService",
        "eas:DeleteService",
        "eas:UpdateService",
        "eas:StartService",
        "eas:StopService"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:GetObject",
        "oss:PutObject",
        "oss:DeleteObject",
        "oss:ListObjects"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paillmtrace:GetXtraceToken"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paidlc:CreateJob",
        "paidlc:DeleteJob",
        "paidlc:StopJob",
        "paidlc:GetJob",
        "paidlc:UpdateJob",
        "paidlc:ListJobs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paidsw:CreateInstance",
        "paidsw:DeleteInstance",
        "paidsw:UpdateInstance",
        "paidsw:StartInstance",
        "paidsw:StopInstance",
        "paidsw:GetInstance",
        "paidsw:ListInstances"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "pai:AssumeUser",
      "Resource": "acs:pai:*:*:users/*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "eas.pai.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "dataworks:CreateWorkflowDefinition",
        "dataworks:UpdateWorkflowDefinition",
        "dataworks:GetWorkflowDefinition",
        "dataworks:ListWorkflowDefinitions",
        "dataworks:DeleteWorkflowDefinition",
        "dataworks:CreateDeployment",
        "dataworks:GetDeployment",
        "dataworks:ExecDeploymentStage",
        "dataworks:GetJobStatus",
        "dataworks:ImportWorkflowDefinition"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paiflow:CreatePipelineRun",
        "paiflow:GetPipelineRun",
        "paiflow:DeletePipelineRun",
        "paidataset:CreateDataset",
        "paidataset:GetDataset",
        "paidataset:UpdateDataset",
        "paidataset:ListDatasets",
        "paidataset:DeleteDataset",
        "paidataset:CreateDatasetVersion",
        "paidataset:GetDatasetVersion",
        "paidataset:UpdateDatasetVersion",
        "paidataset:DeleteDatasetVersion",
        "paidataset:ListDatasetVersions"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Buat kebijakan kustom menggunakan editor skrip. Perhatikan instruksi berikut:
- Ubah isi kebijakan default. Misalnya, perbarui kebijakan otorisasi OSS untuk menentukan bucket OSS yang dapat diakses menggunakan Elemen Kondisi dalam RAM. Contohnya ditampilkan di bawah ini (Hapus semua komentar dalam skenario penggunaan aktual):
```
{
    "Version": "1", 
    "Statement": [
        //Jangan ubah izin pada layanan lain.

        //Tambahkan tag untuk mengonfigurasi izin akses pada bucket OSS.
        {
            "Action": [
                "oss:GetObject", 
                "oss:PutObject", 
                "oss:DeleteObject", 
                "oss:ListObjects"
            ], 
            "Resource": "*", 
            "Effect": "Allow", 
            "Condition": {
                "StringEquals": {
                    "oss:BucketTag/Product": "PaiLangStudio"
                }
            }
        }
    ]
}
```
  Catatan
  OSS memungkinkan Anda menambahkan tag ke bucket. Anda dapat menambahkan tag dalam format pasangan kunci-nilai ke bucket yang diizinkan untuk diakses oleh LangStudio. Contoh: Key:Product dan Value:PaiLangStudio. Untuk informasi lebih lanjut, lihat Kelola tag bucket.
- Tetapkan nama kebijakan baru menjadi CustomAliyunPAILangStudioDefaultRolePolicy.
Hubungkan kebijakan CustomAliyunPAILangStudioDefaultRolePolicy ke peran layanan AliyunPAILangStudioDefaultRole dan lepaskan kebijakan AliyunPAILangStudioDefaultRolePolicy dari peran layanan. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM dan Cabut Izin dari Peran RAM.
Setelah pembaruan berhasil, LangStudio akan mengakses sumber daya Anda berdasarkan kebijakan yang telah dimodifikasi.

Referensi 2: Periksa apakah peran layanan AliyunPAILangStudioDefaultRole telah ditetapkan untuk akun Alibaba Cloud Anda

Untuk memeriksa apakah peran layanan AliyunPAILangStudioDefaultRole telah ditentukan untuk akun Alibaba Cloud Anda, ikuti langkah-langkah berikut:

Catatan

Hanya Akun Alibaba Cloud yang dapat menetapkan peran. Pengguna RAM tidak dapat menetapkan peran.

Masuk ke Konsol RAM. Di panel navigasi kiri, pilih Identitas > Peran.
Di halaman Roles, masukkan AliyunPAILangStudioDefaultRole di kotak pencarian dan klik ikon pencarian untuk mencari peran layanan tersebut.
- Jika peran layanan muncul di hasil pencarian, peran layanan telah ditentukan untuk akun Alibaba Cloud Anda.
- Jika tidak, Anda harus menetapkan peran layanan ke Akun Alibaba Cloud Anda. Untuk informasi lebih lanjut, lihat Berikan Akun Alibaba Cloud Anda Izin untuk Menggunakan LangStudio.