PAI-Rec の権限管理は、Alibaba Cloud の Resource Access Management (RAM) のアカウント内認証モデルに基づいています。このモデルは、ポリシーと合理化されたプロセスを使用して、ご利用の Alibaba Cloud アカウント内でユーザーを管理し、権限を委任することで、PAI-Rec の安全で効率的な利用を保証します。このトピックでは、Data Transmission Service (DTS) が PAI-DLC のトレーニング中に必要とする権限、および PAI-EAS でレコメンデーションエンジンを実行するために必要な権限についても説明します。
基本概念
ポリシーの概要 (システムポリシーとカスタムポリシー)
前提条件
Alibaba Cloud アカウントでログインします。
PAI-Rec 関連のポリシー
PaiRecRamAdminAccess:ユーザーにポリシーをアタッチできるram:AttachPolicyToUser権限を付与します。このポリシーを持つユーザーは、他のユーザーにPaiRecRamAdminAccessポリシーを付与して、そのユーザーを管理者にすることもできます。PaiRecDataManagementAccess:データ管理関連サービス (OSS、Container Registry、DataHub、MaxCompute、PAI-Rec コンソール、フィーチャーストアなど) の OpenAPI 権限を付与します。PaiRecEngineAccess:PAI-EAS および Hologres の OpenAPI 権限を付与します。PaiRecMonitorAccess:Flink および Simple Log Service (SLS) の OpenAPI 権限を付与します。
ユーザーの作成とロールの割り当て
ご利用の Alibaba Cloud アカウントで RAM コンソールにログインし、チームメンバー用の RAM ユーザーを作成します。
PAI-Rec の RAM ユーザーには、通常、レコメンデーションアルゴリズムエンジニア、レコメンデーションエンジンエンジニア、および実験レポートを閲覧する必要があるビジネスアナリストが含まれます。
ユーザーを PAI-Rec 管理者として指定するには、そのユーザーに
PaiRecRamAdminAccessポリシーを付与します。 これを行うには、PaiRecRamAdminAccessポリシーを見つけ、[承認] をクリックします。
作成した RAM ユーザーを、必要なクラウドリソースに追加します。たとえば、アルゴリズムエンジニアを DataWorks、MaxCompute、PAI、Flink のプロジェクトワークスペースに追加します。Hologres を使用して特徴やユーザー行動データを保存する場合は、Hologres にもユーザーを追加する必要があります。
[クラウリソースによるメンバーの追加] セクションで、対象のプロダクトの横にある [メンバーの追加] をクリックします。
作成した RAM ユーザーを選択し、
をクリックして、ユーザーにロールを割り当ててから、[OK] をクリックします。PAI-Rec レコメンデーションシステムを構築するには、RAM ユーザーに少なくとも次のロールが必要です:
クラウドプロダクト
ロール
参考資料
DataWorks
開発者、デプロイ担当者、O&M。
MaxCompute
DataWorks が基本モードの場合、MaxCompute でユーザーに
role_project_devロールを付与することを推奨します。DataWorks が標準モードの場合、MaxCompute の `${project}_dev` 開発プロジェクトでユーザーに `role_project_dev` ロールを付与します。また、DataWorks で MaxCompute コンピューティングリソース (プロジェクト名:`${project}`) のタスクオーナーを、ご利用の Alibaba Cloud アカウントに設定する必要があります。
Flink
EDITOR (デフォルト、手動設定は不要です)。
Hologres
normal
PAI
アルゴリズム開発者、アルゴリズム O&M、MaxCompute 開発者。
関連操作
権限を取り消すには、[ユーザーポリシー] タブに移動し、対象のポリシーの横にある [取り消し] をクリックして、画面の指示に従います。
モデルトレーニングのための PAI-DLC の設定
専用の Data Transmission Service (DTS) リソースグループ (サブスクリプション) を購入して使用する場合は、指定された MaxCompute プロジェクトで次のコマンドを実行する必要があります:
setproject odps.tunnel.enable.quota.route.v2=true;StorageAPI を設定すると、MaxCompute コンソールの [管理設定] > [テナント管理] > [ロール管理] にロールが自動的に作成されます。作成されるロールは、ストレージの課金方法によって異なります。サブスクリプションリソースの場合は
storage_auth_for_pairec_${quota_name}ロールが作成されます。ここで${quota_name}はクォータ名を表す変数です。従量課金リソースの場合はstorage_auth_for_pairec_pay_as_you_goロールが作成されます。次のコードは、storage_auth_for_pairec_pay_as_you_goポリシーの内容を示しています:{ "Statement": [{ "Action": ["odps:List", "odps:Usage"], "Effect": "Allow", "Resource": ["acs:odps:*:regions/*/quotas/pay_as_you_go"] }], "Version": "1" }
レコメンデーションエンジンの AK フリーアクセス
PaiRecDataManagementAccess ポリシーを AliyunPAIRecEASRole RAM ロールに付与します。これにより、PAI-Rec レコメンデーションエンジンは、アクセスキーなしで PAI-EAS サービスを起動し、ABTest SDK、PAI-FeatureStore SDK、Datahub などのサービスを初期化できます。詳細については、「RAM ロールの権限管理」をご参照ください。
クラウドサービスのアクセスステータスの確認
PAI-Rec の他のクラウドサービスへのアクセスを確認するには、PAI-Rec コンソールの [システム設定] > [権限管理] > [サービスポリシー] に移動して、各サービスのアクセスステータスを確認し、必要に応じて権限を付与します。
前提条件
操作手順
PAI-Rec コンソールにログインします。左側のナビゲーションウィンドウで、 を選択します。
[サービスポリシー] タブで、各クラウドサービスのアクセスステータスを確認します。注: このステータスは、
AliyunServiceRoleForPaiRecロールがこれらのクラウドサービスにアクセスできるかどうかを示します。アクセスステータスが「失敗」の場合、[権限付与] をクリックし、画面の指示に従って必要な権限を付与します。