Untuk meningkatkan pengalaman pengguna dan keamanan, ruang kerja Platform for AI (PAI) sepenuhnya terhubung dengan sistem Resource Access Management (RAM) dari Alibaba Cloud. Semua operasi pada sumber daya PAI diautentikasi menggunakan RAM dan dikelola berdasarkan properti visibilitas serta pembuat kebijakan RAM. Operasi pada layanan sub-PAI yang terhubung ke ruang kerja diarahkan melalui API ruang kerja untuk autentikasi.
Ikhtisar
Kebijakan RAM mencakup elemen Condition, yang menentukan kondisi agar autentikasi dapat diterapkan. Anda dapat mengonfigurasi elemen Condition untuk mempersempit cakupan autentikasi, membantu mencapai manajemen izin yang lebih rinci. Di ruang kerja PAI, elemen Condition mendukung pasangan kunci-nilai seperti yang dijelaskan dalam tabel berikut.
kunci | nilai |
pai:Accessibility | Visibilitas sumber daya. Nilai yang valid:
|
pai:EntityAccessType | Pembuat sumber daya.
|
Berikan peran RAM izin untuk mengakses sumber daya di ruang kerja PAI
Anda dapat melampirkan kebijakan ke peran RAM di RAM untuk memberikan izin akses kepada peran tersebut pada sumber daya di ruang kerja PAI. Untuk informasi lebih lanjut tentang kebijakan, lihat Elemen Dasar Kebijakan.
Contoh kebijakan yang dilampirkan pada peran pengembangan algoritma
{
"Version": "1",
"Statement": [
{
"Action": [
"pai:*"
],
"Resource": "acs:paidsw:*:*:*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"pai:Accessibility": "PRIVATE",
"pai:EntityAccessType": "CREATOR"
}
}
},
{
"Action": [
"pai:*"
],
"Resource": "acs:paidsw:*:*:*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"pai:Accessibility": "PUBLIC"
}
}
}
]
}Catatan:
Elemen
Resourcedalamstatementmenentukan sumber daya RAM dalam format standar:acs:<Kode Sub-layanan>:<Wilayah>:<ID Akun>:Workspace/<ID Ruang Kerja>/<Nama Sumber Daya>/<ID Sumber Daya>.Statement ini mencakup dua bagian:
Bagian pertama menentukan bahwa peran tempat kebijakan dilampirkan memiliki izin untuk melakukan operasi pada sumber daya pribadi yang dibuat oleh pengguna autentikasi saat ini.
Bagian kedua menentukan bahwa peran tempat kebijakan dilampirkan memiliki izin untuk melakukan operasi pada sumber daya publik yang dibuat oleh pengguna mana pun.
Contoh kebijakan yang dilampirkan pada peran administrator
{
"Version": "1",
"Statement": [
{
"Action": [
"pai:*"
],
"Resource": "acs:paidsw:*:*:*",
"Effect": "Allow"
}
]
}Catatan:
Dalam contoh ini, statement hanya berisi informasi spesifik, menentukan bahwa peran tempat kebijakan dilampirkan memiliki izin untuk melakukan operasi pada semua sumber daya tanpa memandang nilai properti pai:Accessibility dan pai:EntityAccessType.
Contoh kebijakan yang dilampirkan pada peran lainnya
Elemen Condition dalam kebijakan yang dilampirkan pada peran lainnya di ruang kerja serupa dengan elemen Condition dalam kebijakan yang dilampirkan pada peran pengembang algoritma. Namun, elemen Action untuk kedua peran tersebut berbeda.
Logika autentikasi RAM
Kebijakan RAM yang sesuai dengan peran ruang kerja dilampirkan ke pengguna RAM. Dalam kebijakan RAM, elemen Condition mencakup dua properti:
pai:Accessibilitydanpai:EntityAccessType. Pengguna hanya dapat mengakses objek API jika kondisi properti tersebut terpenuhi.Saat pengguna RAM mencoba mengakses objek API, PAI memanggil API RAM untuk autentikasi dan mengonfigurasi properti dalam elemen Condition selama proses autentikasi.
Selama autentikasi RAM, pengguna RAM harus memiliki izin untuk mengakses objek API dan properti yang dikonfigurasi dalam elemen Condition ketika PAI memanggil API RAM harus cocok dengan properti yang dikonfigurasi dalam elemen Condition dari kebijakan yang dilampirkan ke pengguna RAM. Jika kebijakan yang dilampirkan tidak mencakup properti
pai:Accessibilitydanpai:EntityAccessTypedalam elemen Condition, properti tersebut tidak diperiksa selama autentikasi RAM.