All Products
Search

This Product

    Platform For AI:Akses PAI menggunakan RAM role

    Document Center

    Platform For AI:Akses PAI menggunakan RAM role

    Last Updated:Mar 11, 2026

    Topik ini menjelaskan cara login ke platform PAI menggunakan Single Sign-On (SSO) berbasis peran. SSO berbasis peran adalah metode akses yang sederhana dan aman untuk membantu Anda menggunakan fitur PAI secara efisien. Metode ini menyederhanakan proses login, meningkatkan keamanan akun, serta menyediakan manajemen akses yang fleksibel.

    Informasi latar belakang

    Untuk memenuhi persyaratan keamanan ketat perusahaan, Alibaba Cloud menyediakan login berbasis peran untuk mengakses resource cloud. Secara tradisional, pengguna perusahaan login ke Konsol Manajemen Alibaba Cloud menggunakan akun dan kata sandi untuk mengelola serta menggunakan layanan cloud. Namun, login berbasis peran merupakan metode akses yang lebih aman dan sesuai dengan standar keamanan tingkat tinggi. Untuk informasi selengkapnya, lihat Ikhtisar SSO berbasis peran berbasis SAML.

    Metode login yang didukung oleh PAI

    PAI mendukung metode login berikut: login dengan akun Alibaba Cloud dan login berbasis peran.

    • Login dengan akun Alibaba Cloud:

      Anda dapat langsung login ke PAI menggunakan akun Alibaba Cloud atau akun Pengguna Resource Access Management (RAM). Setelah memasukkan akun dan kata sandi Anda, Anda dapat mengakses Konsol Manajemen Alibaba Cloud dan menggunakan PAI dengan akun tersebut. Akun Alibaba Cloud Anda secara otomatis menjadi anggota ruang kerja PAI dan diberikan izin produk yang diperlukan.

    • Login dengan CloudSSO:

      CloudSSO menyediakan manajemen identitas terpusat dan kontrol akses untuk beberapa akun dalam Alibaba Cloud Resource Directory (RD). Anda dapat menggunakan CloudSSO untuk mengelola secara terpusat pengguna perusahaan yang mengakses Alibaba Cloud, mengonfigurasi Single Sign-On (SSO) antara penyedia identitas perusahaan Anda dan Alibaba Cloud, serta mengelola izin akses secara terpusat ke semua akun dalam RD Anda.

    • Login dengan SSO berbasis peran:

      Anda juga dapat menggunakan SSO berbasis peran untuk login ke Konsol Manajemen Alibaba Cloud dan menggunakan PAI. Dengan metode ini, RAM role menjadi anggota ruang kerja PAI. Pengguna yang mengasumsikan RAM role ini memperoleh izin produk yang sama seperti anggota dengan akun Alibaba Cloud. Untuk informasi selengkapnya tentang RAM role, lihat Ikhtisar RAM role.

    Panduan login berbasis peran

    1. Buat RAM role dan konfigurasikan kebijakan kepercayaan.

      Mengasumsikan peran sebagai RAM user dan menambahkan izin

      Untuk mengizinkan RAM user mengasumsikan RAM role dengan mengganti identitasnya di Konsol Manajemen Alibaba Cloud, pilih Alibaba Cloud Account sebagai tipe entitas tepercaya. Prosedurnya sebagai berikut.

      1. Buat RAM role dengan tipe entitas tepercaya diatur ke Alibaba Cloud Account. Untuk informasi selengkapnya, lihat Buat RAM role untuk akun Alibaba Cloud tepercaya.

        Atur parameter Trusted Principal Name ke Current Alibaba Cloud Account.

      2. Buka halaman detail peran target dan modifikasi kebijakan kepercayaan.

        image

        Modifikasi kebijakan kepercayaan dengan skrip berikut:

        {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "RAM": [
          "acs:ram::RootAccountID:root"
        ]
      }
    },    
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "dataworks.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

        Dalam skrip tersebut, ganti RootAccountID dalam acs:ram::RootAccountID:root dengan ID akun yang akan diberikan izin. Buka halaman Basic Information untuk mendapatkan ID akun tersebut.

      3. Buat satu atau beberapa RAM user. Untuk informasi selengkapnya, lihat Buat RAM user.

      4. Pada kolom Actions untuk RAM user target, klik Add Permissions untuk memberikan izin AliyunSTSAssumeRoleAccess kepada RAM user tersebut. Izin ini memungkinkan pengguna memanggil operasi AssumeRole dari Security Token Service (STS).

        image

      Mengasumsikan peran melalui penyedia identitas (IdP) dan menambahkan izin

      Untuk login ke Alibaba Cloud dan mengasumsikan RAM role sebagai pengguna dari penyedia identitas (IdP), pilih Identity Provider sebagai tipe entitas tepercaya. Prosedurnya sebagai berikut:

      1. Buat RAM role dengan tipe entitas tepercaya diatur ke Identity Provider. Untuk informasi selengkapnya, lihat Buat RAM role untuk IdP tepercaya.

      2. Buka halaman detail peran target dan modifikasi kebijakan kepercayaan.

        image

        Modifikasi kebijakan kepercayaan dengan skrip berikut:

        {
   "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Federated": [
                    "acs:ram::RootAccountID:saml-provider/IDP"
                ]
            },
            "Condition": {
                "StringEquals": {
                    "saml:recipient": "https://signin.aliyun.com/saml-role/sso"
                }
            }
        },
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
              "Service": [
                "dataworks.aliyuncs.com"
              ]
            }
        }
    ],
    "Version": "1"
}

        Dalam skrip tersebut, ganti RootAccountID dalam acs:ram::RootAccountID:saml-provider/IDP dengan ID akun yang akan diberikan izin. Buka halaman Basic Information untuk mendapatkan ID akun tersebut.

    2. Konfigurasikan kebijakan akses.

      Anda harus menambahkan kebijakan akses untuk peran tersebut berdasarkan produk yang perlu digunakan oleh peran setelah login. Tanpa kebijakan akses, beberapa fitur ruang kerja, seperti dataset dalam AI Asset Management, mungkin tidak tersedia. Untuk menambahkan kebijakan akses yang diperlukan, lakukan langkah-langkah berikut:

      1. Buat kebijakan akses. Misalnya, atur Nama Kebijakan menjadi PAIDefaultPolicy. Untuk informasi selengkapnya, lihat Ketergantungan dan otorisasi layanan Alibaba Cloud: Designer. Pada tab Script Editor, gunakan konten kebijakan berikut:

        {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "cs:GetClusterById",
                "cs:GetClusters",
                "cs:GetUserConfig",
                "cs:DescribeClusterNodes",
                "cs:DescribeClusterInnerServiceKubeconfig",
                "cs:RevokeClusterInnerServiceKubeconfig"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "vpc:DescribeVSwitchAttributes",
                "vpc:DescribeVpcs",
                "vpc:DescribeVSwitches",
                "vpc:DescribeVpcAttribute"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "ecs:DescribeSecurityGroupAttribute",
                "ecs:DescribeSecurityGroups",
                "ecs:CreateNetworkInterface",
                "ecs:DeleteNetworkInterface",
                "ecs:DescribeNetworkInterfaces",
                "ecs:CreateNetworkInterfacePermission",
                "ecs:DescribeNetworkInterfacePermissions",
                "ecs:DeleteNetworkInterfacePermission"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "nas:DescribeFileSystems",
                "nas:CreateMountTarget",
                "nas:DescribeMountTargets",
                "nas:ModifyMountTarget",
                "nas:DescribeProtocolMountTarget"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "cr:ListNamespace",
                "cr:ListRepository",
                "cr:GetAuthorizationToken",
                "cr:ListInstanceEndpoint",
                "cr:PullRepository",
                "cr:PushRepository",
                "cr:GetInstance",
                "cr:GetInstanceVpcEndpoint",
                "cr:ListInstance",
                "cr:ListInstanceDomain"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "oss:ListBuckets",
                "oss:GetObjectMetadata",
                "oss:GetObject",
                "oss:ListObjects",
                "oss:PutObject",
                "oss:CopyObject",
                "oss:CompleteMultipartUpload",
                "oss:AbortMultipartUpload",
                "oss:InitiateMultipartUpload",
                "oss:UploadPartCopy",
                "oss:UploadPart",
                "oss:DeleteObject"
            ],
            "Resource": "acs:oss:*:*:*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "datasetacc:DescribeInstance",
                "datasetacc:DescribeSlot",
                "datasetacc:DescribeEndpoint"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

        Permission Type

        Description

        cs:***

        Izin terkait Container Service (CS).

        vpc:***

        Izin terkait Virtual Private Cloud (VPC).

        ecs:***

        Izin terkait Elastic Compute Service (ECS).

        nas:***

        Izin terkait NAS.

        cr:***

        Izin terkait Container Registry.

        oss:***

        Izin terkait Object Storage Service (OSS).

        datasetacc:***

        Izin terkait percepatan dataset.

      2. Pada halaman Resource Access Management, pilih Identities > Roles.

      3. Cari peran yang telah Anda buat pada Langkah 1 dan klik nama peran untuk membuka halaman Role Details.

      4. Pada tab Permissions, klik Add Permissions untuk memberikan kebijakan akses yang telah Anda buat kepada peran tersebut. Gambar berikut menunjukkan contohnya.

        image

    3. Tambahkan RAM role ke ruang kerja PAI dan berikan izin.

      RAM role harus ditambahkan sebagai anggota ruang kerja agar dapat menggunakan produk PAI. Administrator ruang kerja dapat menambahkan RAM role tersebut pada halaman Members and Roles ruang kerja. Untuk informasi selengkapnya, lihat Kelola anggota ruang kerja.image

      Catatan

      Jika Anda tidak menemukan peran tersebut dalam hasil pencarian, lakukan salah satu operasi berikut:

      • Pada kotak dialog Add Members, klik tombol Refresh untuk memperbarui daftar akun.

      • Login ke PAI console dengan mengasumsikan RAM role tersebut, lalu coba cari dan tambahkan kembali. Untuk informasi selengkapnya, lihat Asumsikan RAM role.

    4. Login ke konsol PAI untuk memulai pengembangan algoritma.

      Setelah otorisasi selesai, pengguna dapat mengasumsikan RAM role untuk login ke PAI console dan mulai mengembangkan algoritma. Untuk informasi selengkapnya, lihat Asumsikan RAM role.