Alibaba Cloud PAI-Rec の権限管理では、Alibaba Cloud Resource Access Management (RAM) システムのアカウント内権限付与モデルを使用します。このモデルは、事前定義されたアクセスポリシーと合理化された権限付与エクスペリエンスを提供し、ご利用の Alibaba Cloud アカウントのユーザー管理と権限委任を実装するのに役立ちます。これにより、クラウドリソースに安全にアクセスし、プロダクトを効率的に使用できます。このトピックでは、Data Transmission Service (DTS) for PAI-DLC トレーニングに必要な権限と、PAI-EAS 上で PAI-Rec レコメンデーションエンジンを実行するために必要な権限についても説明します。
基本概念
ポリシーの概要 (システムポリシーとカスタムポリシー)
前提条件
Alibaba Cloud アカウントでログインしていること。
PaiRecRamAdminAccess およびその他の PAI-Rec ポリシーの説明
PaiRecRamAdminAccess:`ram:AttachPolicyToUser` 権限が含まれており、ユーザーが他のユーザーにポリシーをアタッチすることを許可します。PaiRecRamAdminAccess 権限を持つユーザーは、この権限を他のユーザーに付与することもでき、そのユーザーはこのポリシーの管理者になります。
PaiRecDataManagementAccess:OSS、コンテナー、DataHub、MaxCompute、PAI-Rec コンソールサービス、および FeatureStore にアクセスするための OpenAPI 権限を提供します。
PaiRecEngineAccess:PAI-EAS および Hologres サービスへの OpenAPI 権限を提供します。
PaiRecMonitorAccess:Flink および SLS ログへの OpenAPI 権限を提供します。
アカウントの作成と管理者の設定
Alibaba Cloud アカウントで Resource Access Management (RAM) コンソールにログインし、会社の従業員用にRAM ユーザーを作成します。
PAI-Rec の RAM ユーザーには、レコメンデーションアルゴリズムエンジニア、レコメンデーションエンジン開発者、および PAI-Rec の実験レポートを閲覧する必要があるビジネス担当者などが含まれます。
PaiRecRamAdminAccess ポリシーを付与することで、ユーザーを PAI-Rec の管理者として指定できます。これを行うには、ポリシーの右側にある [権限付与] をクリックします。
作成した RAM ユーザーを必要なクラウドリソースに追加します。たとえば、アルゴリズム開発者を DataWorks、MaxCompute、PAI、Flink のプロジェクトワークスペースに追加します。Hologres を使用して特徴やユーザー行動データを保存する場合は、ユーザーを Hologres にも追加する必要があります。
クラウドリソースによるメンバーの追加 エリアで、対象のプロダクトリソースの [メンバーの追加] をクリックします。
RAM ユーザーを選択し、
をクリックして、ユーザーに対応するロールを割り当ててから、[OK] をクリックします。RAM ユーザーを使用して PAI-Rec レコメンデーションシステムを構築するには、RAM ユーザーに次のロールを付与する必要があります:
クラウドプロダクト
ロール
リファレンス
DataWorks
開発、デプロイメント、O&M。
MaxCompute
DataWorks には基本モードを使用することを推奨します:MaxCompute でユーザーに role_project_dev ロールを選択します。
DataWorks が標準モードの場合は、MaxCompute 開発プロジェクト ${project}_dev でユーザーに role_project_dev ロールを選択します。DataWorks コンピューティングリソースで、MaxCompute のタスクオーナーとして Alibaba Cloud アカウントを設定します (プロジェクト名は ${project})。
Flinkvvp
EDITOR (デフォルト、手動設定は不要)。
Hologres
normal
PAI
アルゴリズム開発、アルゴリズム O&M、および MaxCompute 開発。
関連操作
権限付与を取り消すには、[ユーザーアクセスポリシー] タブで対象のリソースを見つけ、[取り消し] をクリックし、画面の指示に従って操作を完了します。
PAI-DLC を使用したモデルトレーニングの設定
サブスクリプションベースのサービスである専用の Data Transmission Service リソースグループを購入して使用する場合、指定された MaxCompute プロジェクトで次のコマンドを実行する必要があります:setproject odps.tunnel.enable.quota.route.v2=true;
クラウドプロダクト設定インターフェイスで StorageAPI を設定すると、MaxCompute コンソールのストレージリソースがサブスクリプションベースであるかどうかに応じて、新しいロールが自動的に作成されます:`storage_auth_for_pairec_${quota_name}` (サブスクリプション課金方法の場合、サブスクリプションリソースを使用。`${quota_name}` はクォータ名を表します)、または `storage_auth_for_pairec_pay_as_you_go` (従量課金方法の場合)。`storage_auth_for_pairec_pay_as_you_go` の内容は次のとおりです:
{ "Statement": [{ "Action": ["odps:List", "odps:Usage"], "Effect": "Allow", "Resource": ["acs:odps:*:regions/*/quotas/pay_as_you_go"] }], "Version": "1" }
PAI-EAS のレコメンデーションエンジンにおける AK フリーアクセスの設定
PAI-Rec レコメンデーションエンジンは、AccessKey (AK) なしで PAI-EAS サービスを起動し、ABTest SDK、PAI-FeatureStore SDK、および DataHub を初期化できます。これを有効にするには、AliyunPAIRecEASRole ロールに PaiRecDataManagementAccess ポリシーを付与します。詳細については、「RAM ロールの権限管理」をご参照ください。
クラウドプロダクトのアクセスステータスの確認
PAI-Rec が他のクラウドプロダクトに正しくアクセスできることを確認するために、PAI-Rec コンソールで [システム設定] > [権限管理] > [サービスアクセスポリシー] に移動して、各クラウドプロダクトのアクセスステータスを確認し、関連する権限付与を完了できます。
前提条件
手順
PAI-Rec コンソールにログインします。左側のナビゲーションウィンドウで、 をクリックします。
[サービスアクセスポリシー] タブで、各クラウドプロダクトのアクセスステータスが正常であるかどうかを確認します。注意:これは、AliyunServiceRoleForPaiRec ロールのこれらのクラウドプロダクトへのアクセスステータスを指します。
アクセスステータスが失敗の場合は、[権限付与] をクリックし、画面の指示に従って権限付与を完了します。