すべてのプロダクト
Search
ドキュメントセンター

:権限管理

最終更新日:Jun 06, 2026

PAI-Rec の権限管理は、Alibaba Cloud の Resource Access Management (RAM) のアカウント内認証モデルに基づいています。このモデルは、ポリシーと合理化されたプロセスを使用して、ご利用の Alibaba Cloud アカウント内でユーザーを管理し、権限を委任することで、PAI-Rec の安全で効率的な利用を保証します。このトピックでは、Data Transmission Service (DTS) が PAI-DLC のトレーニング中に必要とする権限、および PAI-EAS でレコメンデーションエンジンを実行するために必要な権限についても説明します。

基本概念

前提条件

PAI-Rec 関連のポリシー

  • PaiRecRamAdminAccess:ユーザーにポリシーをアタッチできる ram:AttachPolicyToUser 権限を付与します。このポリシーを持つユーザーは、他のユーザーに PaiRecRamAdminAccess ポリシーを付与して、そのユーザーを管理者にすることもできます。

  • PaiRecDataManagementAccess:データ管理関連サービス (OSS、Container Registry、DataHub、MaxCompute、PAI-Rec コンソール、フィーチャーストアなど) の OpenAPI 権限を付与します。

  • PaiRecEngineAccess:PAI-EAS および Hologres の OpenAPI 権限を付与します。

  • PaiRecMonitorAccess:Flink および Simple Log Service (SLS) の OpenAPI 権限を付与します。

ユーザーの作成とロールの割り当て

  • ご利用の Alibaba Cloud アカウントで RAM コンソールにログインし、チームメンバー用の RAM ユーザーを作成します。

    1. PAI-Rec の RAM ユーザーには、通常、レコメンデーションアルゴリズムエンジニア、レコメンデーションエンジンエンジニア、および実験レポートを閲覧する必要があるビジネスアナリストが含まれます。

    2. ユーザーを PAI-Rec 管理者として指定するには、そのユーザーに PaiRecRamAdminAccess ポリシーを付与します。 これを行うには、PaiRecRamAdminAccess ポリシーを見つけ、[承認] をクリックします。

  • 作成した RAM ユーザーを、必要なクラウドリソースに追加します。たとえば、アルゴリズムエンジニアを DataWorks、MaxCompute、PAI、Flink のプロジェクトワークスペースに追加します。Hologres を使用して特徴やユーザー行動データを保存する場合は、Hologres にもユーザーを追加する必要があります。

    1. [クラウリソースによるメンバーの追加] セクションで、対象のプロダクトの横にある [メンバーの追加] をクリックします。

    2. 作成した RAM ユーザーを選択し、image をクリックして、ユーザーにロールを割り当ててから、[OK] をクリックします。

      PAI-Rec レコメンデーションシステムを構築するには、RAM ユーザーに少なくとも次のロールが必要です:

      クラウドプロダクト

      ロール

      参考資料

      DataWorks

      開発者、デプロイ担当者、O&M。

      付録:ワークスペースレベルでの組み込みロールの権限

      MaxCompute

      • DataWorks が基本モードの場合、MaxCompute でユーザーに role_project_dev ロールを付与することを推奨します。

      • DataWorks が標準モードの場合、MaxCompute の `${project}_dev` 開発プロジェクトでユーザーに `role_project_dev` ロールを付与します。また、DataWorks で MaxCompute コンピューティングリソース (プロジェクト名:`${project}`) のタスクオーナーを、ご利用の Alibaba Cloud アカウントに設定する必要があります。

      権限の概要

      Flink

      EDITOR (デフォルト、手動設定は不要です)。

      権限管理

      Hologres

      normal

      Hologres 権限モデル

      PAI

      アルゴリズム開発者、アルゴリズム O&M、MaxCompute 開発者。

      付録:ロールと権限

関連操作

権限を取り消すには、[ユーザーポリシー] タブに移動し、対象のポリシーの横にある [取り消し] をクリックして、画面の指示に従います。

モデルトレーニングのための PAI-DLC の設定

  • 専用の Data Transmission Service (DTS) リソースグループ (サブスクリプション) を購入して使用する場合は、指定された MaxCompute プロジェクトで次のコマンドを実行する必要があります:setproject odps.tunnel.enable.quota.route.v2=true;

  • StorageAPI を設定すると、MaxCompute コンソールの [管理設定] > [テナント管理] > [ロール管理] にロールが自動的に作成されます。作成されるロールは、ストレージの課金方法によって異なります。サブスクリプションリソースの場合は storage_auth_for_pairec_${quota_name} ロールが作成されます。ここで ${quota_name} はクォータ名を表す変数です。従量課金リソースの場合は storage_auth_for_pairec_pay_as_you_go ロールが作成されます。次のコードは、storage_auth_for_pairec_pay_as_you_go ポリシーの内容を示しています:

    {
      "Statement": [{
              "Action": ["odps:List",
                  "odps:Usage"],
              "Effect": "Allow",
              "Resource": ["acs:odps:*:regions/*/quotas/pay_as_you_go"]
              }],
      "Version": "1"
    }

レコメンデーションエンジンの AK フリーアクセス

  • PaiRecDataManagementAccess ポリシーを AliyunPAIRecEASRole RAM ロールに付与します。これにより、PAI-Rec レコメンデーションエンジンは、アクセスキーなしで PAI-EAS サービスを起動し、ABTest SDK、PAI-FeatureStore SDK、Datahub などのサービスを初期化できます。詳細については、「RAM ロールの権限管理」をご参照ください。

クラウドサービスのアクセスステータスの確認

PAI-Rec の他のクラウドサービスへのアクセスを確認するには、PAI-Rec コンソールの [システム設定] > [権限管理] > [サービスポリシー] に移動して、各サービスのアクセスステータスを確認し、必要に応じて権限を付与します。

前提条件

PAI-Rec をアクティブ化して初期化していること

操作手順

  1. PAI-Rec コンソールにログインします。左側のナビゲーションウィンドウで、[システム設定] > [権限管理] を選択します。

  2. [サービスポリシー] タブで、各クラウドサービスのアクセスステータスを確認します。注: このステータスは、AliyunServiceRoleForPaiRec ロールがこれらのクラウドサービスにアクセスできるかどうかを示します。

    アクセスステータスが「失敗」の場合、[権限付与] をクリックし、画面の指示に従って必要な権限を付与します。