権限管理には、RAM ユーザー権限付与とサービス権限付与が含まれます。関連する権限を適切に設定することで、詳細な権限制御を実現できます。
RAM ユーザーに権限を付与する
実際のビジネス シナリオでは、さまざまな部門やチームがさまざまなクラウドリソースにアクセスする必要があります。 Alibaba Cloud アカウントを使用して、さまざまな RAM ユーザーに適切な権限を割り当てることで、Alibaba Cloud アカウントによってもたらされる運用リスクを軽減し、システムのセキュリティ、コンプライアンス、および運用効率を向上させることができます。
前提条件
Alibaba Cloud アカウントでログオンし、以下の操作を実行します。
手順
Alibaba Cloud アカウントで PAI-Rec コンソール にログオンします。左側のナビゲーションウィンドウで、 を選択します。
RAM ユーザーにサービスを承認します。
[RAM 権限] タブの [RAM ユーザーのサービスを承認する] セクションで、目的のポリシーの [アクション] 列の [ユーザー認証] をクリックします。RAM ユーザーが PAI-Rec インスタンスにアクセスするには、少なくとも 1 つのポリシーを承認する必要があります。PaiRecDataManagementAccess:MaxCompute、DataWorks、OSS、Storage API へのアクセス権限、および PAI 関連の権限を含む、基本的なデータ管理とモデリングの権限。PaiRecEngineAccess:FeatureStore、Hologres、PAI-EAS に関連する権限を含む、DPI エンジン構成とサービス公開の権限。PaiRecMonitorAccess:SLS、Datahub、Flink、Kafka に関連する権限。
作成した RAM ユーザーを選択し、[承認] をクリックします。
[RAM クイック承認] ページで、[承認] をクリックします。
[戻る] をクリックしてコンソールに戻り、[承認済みアカウント] 列で承認済みの RAM ユーザーを表示します。
RAM ユーザーにリソースを承認します。
[RAM ユーザーのリソース承認] セクションで、目的のクラウドサービスの [アクション] 列の [メンバーの追加] をクリックします。
作成した RAM ユーザーを選択し、ユーザーに対応するロールを設定して、[OK] をクリックします。
RAM ユーザーを使用して PAI-Rec 推奨システムを構築するには、RAM ユーザーに少なくとも以下のロールを設定する必要があります。
クラウドサービス
ロール
参照
DataWorks
開発、デプロイメント、および運用保守。
MaxCompute
DataWorks が基本モードの場合: MaxCompute で role_project_dev を選択します。
DataWorks が標準モードの場合: MaxCompute 開発プロジェクト ${project}_dev で、role_project_dev を選択します。 DataWorks の計算資源で、Alibaba Cloud アカウントを MaxCompute のタスクオーナーとして設定します(${project} はプロジェクト名を示します)。
Flinkvvp
EDITOR (デフォルト)
手動構成は不要です。
Hologres
normal
PAI
アルゴリズム開発、アルゴリズム運用保守、および MaxCompute 開発。
参照
承認を取り消す必要がある場合は、目的のリソースの [アクション] 列の [承認のキャンセル] をクリックし、画面の指示に従って操作を完了します。
サービスに権限を付与する
PAI-Rec が他のクラウドサービスに適切にアクセスできるようにするには、各クラウドサービスのアクセス ステータスを確認し、関連する承認を完了します。
前提条件
手順
PAI-Rec コンソール にログオンします。左側のナビゲーションウィンドウで、 を選択します。
[PAI-Rec 権限] タブで、各クラウドサービスの現在のアクセス ステータスが正常かどうかを確認します。
アクセス ステータスが失敗した場合は、[承認] をクリックし、画面の指示に従って操作を完了します。