全部产品
Search

搜索本产品

    Platform For AI:Berikan izin pada kelompok sumber daya komputasi AI

    文档中心

    Platform For AI:Berikan izin pada kelompok sumber daya komputasi AI

    更新时间:Jul 06, 2025

    Untuk menerapkan kontrol izin terperinci pada sumber daya komputasi AI di Platform for AI (PAI), Anda dapat membuat kebijakan kustom yang memberikan pengguna Resource Access Management (RAM) izin untuk membuat, memperbarui, menghapus, atau menskalakan sumber daya.

    Informasi latar belakang

    Izin RAM digunakan untuk manajemen sumber daya cloud-native dan kuota sumber daya. Sumber daya cloud-native mencakup sumber daya komputasi umum serta Sumber Daya Lingjun.

    Kolam sumber daya

    Kolam sumber daya berisi sumber daya komputasi yang dibeli untuk pengembangan AI dalam kelompok sumber daya khusus (ResourceGroup).

    Untuk informasi lebih lanjut, lihat Ikhtisar.

    Kuota sumber daya

    Kuota sumber daya adalah subkoleksi dari sumber daya komputasi AI dalam kolam sumber daya. Setelah dikaitkan dengan ruang kerja, anggota ruang kerja dapat menggunakan sumber daya tersebut untuk pengembangan AI dan penyebaran layanan online. Untuk informasi lebih lanjut, lihat Ikhtisar.

    Anda dapat membuat kuota sumber daya yang mengikuti struktur pohon. Kuota sumber daya yang dibuat menggunakan sumber daya dari kolam sumber daya disebut kuota sumber daya akar. Setiap kuota sumber daya akar dapat dibagi menjadi beberapa kuota sumber daya anak, yang juga dapat dibagi lebih lanjut.

    image

    Prosedur

    1. Buat pengguna RAM. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    2. Buat kebijakan kustom. Untuk panduan pembuatan kebijakan kustom, lihat bagian "Buat Kebijakan Kustom di Tab JSON" dalam topik Buat Kebijakan Kustom.

      Untuk detail tentang izin yang diberikan oleh kebijakan kustom tertentu, lihat bagian "Contoh" dari topik ini.

    3. Lampirkan kebijakan kustom ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

    Contoh

    Izin untuk mengelola kolam sumber daya

    Pengguna RAM dengan izin untuk mengelola kolam sumber daya dapat melihat, membuat, memperbarui, dan menghapus kelompok sumber daya khusus di kolam sumber daya.

    Konfigurasi kebijakan contoh:

    Catatan

    Untuk memberikan pengguna RAM izin mengelola kolam sumber daya, Anda harus memberikan izin Virtual Private Cloud (VPC) kepada pengguna tersebut karena konfigurasi VPC diperlukan saat membuat kelompok sumber daya khusus di halaman Kolam Sumber Daya di konsol PAI.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "pai:*ResourceGroup*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "ecs:DescribeSecurityGroups"
      ],
      "Resource": "*"
    }
  ]
}

    Izin untuk membuat, menskalakan, dan menghapus kuota sumber daya akar

    Kuota sumber daya akar mencakup sumber daya dari satu atau lebih kelompok sumber daya khusus di kolam sumber daya. Untuk memberikan pengguna RAM izin membuat, memperbarui, menskalakan, atau menghapus kuota sumber daya akar, Anda harus memberikan izin untuk mengelola kolam sumber daya dan kuota.

    Contoh berikut mendefinisikan izin Get, List, dan Update untuk tiga kelompok sumber daya khusus di kolam sumber daya: resourcegroup1, resourcegroup2, dan resourcegroup3. Ini menunjukkan bahwa pengguna RAM yang berwenang hanya dapat menggunakan tiga kelompok sumber daya khusus tersebut untuk membuat kuota sumber daya akar.

    "acs:pai:*:*:quota/*" menunjukkan bahwa pengguna RAM yang diberi otorisasi dapat mengelola semua kuota sumber daya yang dibuat menggunakan sumber daya dari resourcegroup1, resourcegroup2, dan resourcegroup3.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Mengizinkan",
      "Action": [
        "pai:GetResourceGroup",
        "pai:ListResourceGroups",
        "pai:UpdateResourceGroup"
      ],
      "Resource": [
        "acs:pai:*:*:resourcegroup/resourcegroup1",
        "acs:pai:*:*:resourcegroup/resourcegroup2",
        "acs:pai:*:*:resourcegroup/resourcegroup3"
      ]
    },
    {
      "Effect": "Mengizinkan",
      "Action": [
        "pai:CreateQuota",
        "pai:UpdateQuota",
        "pai:ScaleQuota",
        "pai:DeleteQuota",
        "pai:GetQuota",
        "pai:ListQuotas"
      ],
      "Resource": [
        "acs:pai:*:*:quota/*"
      ]
    }
  ]
}

    Izin untuk mengelola kuota sumber daya root

    Izin untuk mengelola kuota sumber daya root tidak memerlukan izin untuk mengelola kolam sumber daya. Sebagai contoh, pengguna RAM dengan izin untuk mengelola quota1 dapat melakukan operasi berikut:

    • View quota1.

    • Perbarui metadata quota1, seperti tag dan deskripsi kuota.

    • Kelola kuota sumber daya anak dari quota1, seperti membuat, memperbarui, menskalakan, dan menghapus kuota.

    Konfigurasi kebijakan sampel berikut untuk quota1 berisi dua pernyataan. Pernyataan pertama mendefinisikan izin untuk mengelola kuota sumber daya anak dari quota1, dan pernyataan kedua mendefinisikan izin untuk mengelola quota1.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "pai:CreateQuota",
        "pai:UpdateQuota",
        "pai:ScaleQuota",
        "pai:DeleteQuota",
        "pai:GetQuota",
        "pai:ListQuotas"
      ],
      "Resource": [
        "acs:pai:*:*:quota/quota1/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "pai:UpdateQuota",
        "pai:GetQuota",
        "pai:ListQuotas"
      ],
      "Resource": [
        "acs:pai:*:*:quota/quota1"
      ]
    }
  ]
}

    Izin untuk mengelola kuota sumber daya anak

    Sebagai contoh, pengguna RAM dengan izin untuk mengelola quota1.2 dapat melakukan operasi berikut:

    • View quota1.2.

    • Perbarui metadata quota1.2, seperti tag dan deskripsi kuota.

    • Kelola kuota sumber daya anak dari quota1.2, seperti membuat, memperbarui, menskalakan, dan menghapus kuota.

    Konfigurasi kebijakan sampel berikut untuk quota1.2 berisi dua pernyataan. Pernyataan pertama mendefinisikan izin untuk mengelola kuota sumber daya anak dari quota1.2, dan pernyataan kedua mendefinisikan izin untuk mengelola quota1.2.

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "pai:CreateQuota",
        "pai:UpdateQuota",
        "pai:ScaleQuota",
        "pai:DeleteQuota",
        "pai:GetQuota",
        "pai:ListQuotas"
      ],
      "Resource": [
        "acs:pai:*:*:quota/*/quota1.2/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "pai:UpdateQuota",
        "pai:GetQuota",
        "pai:ListQuotas"
      ],
      "Resource": [
        "acs:pai:*:*:quota/*/quota1.2"
      ]
    }
  ]
}

    VPC permissions

    Jika Anda membeli Sumber Daya Lingjun di wilayah China (Ulanqab), Anda dapat mengonfigurasi VPC saat membuat kuota sumber daya root dan anak di konsol PAI. Dalam hal ini, Anda juga harus menambahkan izin VPC ke kebijakan terkait kuota. Contoh konfigurasi kebijakan:

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Mengizinkan",
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "ecs:DescribeSecurityGroups"
      ],
      "Resource": "*"
    }
  ]
}