権限管理機能により、コンソールページとモデルレベルでの多次元的なアクセス制御が可能になり、複数のリージョンやユーザーが存在する複雑な組織構造の要件に対応します。
ID 管理
単一のワークスペースは、詳細な権限管理 (モデルとユーザー向け) とコスト配分における最小管理単位です。
Model Studio のワークスペース権限管理は、次の 3 つのロールに基づいています:
スーパー管理者:すべてのワークスペースにわたるユーザー、利用可能なモデル、モデルのレート制限、および API キーを管理します。
ワークスペース管理者:特定のワークスペース内のユーザー権限とリソースを管理します。
一般ユーザー:割り当てられた権限に従ってリソースを使用します。
ワークスペース権限 | スーパー管理者 | ワークスペース管理者 | 一般ユーザー |
特定のモデル呼び出しとレート制限の許可 | |||
特定のモデルのファインチューニングの許可 | |||
ユーザー管理 | |||
ユーザーがアクセス可能なページの管理 | |||
API キー管理 | |||
権限付与されたワークスペース、ページ、リソースへのアクセス/使用 |
スーパー管理者
このロールには、次の 2 種類のアカウントが含まれます:
Alibaba Cloud アカウント。Model Studio コンソールの右上に表示されます:
RAM ユーザー (アカウント) に AliyunBailianFullAccess (Model Studio 管理者) システムポリシーが付与されている場合、Model Studio のグローバル管理メニュー ( シンガポール | 中国 (北京) | 米国 (バージニア)) を使用して、任意のリージョンおよび任意のワークスペースにおけるほぼすべての権限を任意の RAM ユーザーに付与できます。(Alibaba Cloud アカウントのみが OpenAPI 権限を付与できます。)
RAM ユーザーは、Alibaba Cloud アカウントによって作成されるサブアカウントで、クラウドリソースと権限をチームメンバーに安全に割り当てるために使用されます。
右上に次のように表示されます:
Model Studio では、スーパー管理者はグローバル管理メニュー ( シンガポール | 中国 (北京) | 米国 (バージニア)) を使用して、複数のワークスペースを管理できます。機能は次のとおりです:
ワークスペースの作成とワークスペース名の管理。
すべてのワークスペースのモデルとモデルのレート制限の管理。
すべてのワークスペースのアカウント (ユーザー) の管理。
すべての API キーの管理。
モデル監視などの機能を有効にするには、Alibaba Cloud アカウントを使用して 1 回限りの権限付与を行い、コンソールで有効にする必要があります。
ワークスペース管理者
このロールは、ワークスペースの [権限] ページにアクセスできる Alibaba Cloud RAM ユーザーを指します。このページを使用してワークスペースを管理できます。
[管理者] 権限には、そのワークスペース内のすべてのページへのアクセスが含まれます。
ワークスペースの権限管理
Model Studio は、リソースとワークスペースを地理的なリージョンで分割します。単一のワークスペースが複数のリージョンにまたがることはできません。異なるリージョンのデフォルトワークスペースも別々です。グローバル管理メニュー ( シンガポール | 中国 (北京) | 米国 (バージニア)) に移動してください。
Model Studio のワークスペースは、詳細な権限管理における最小の管理単位でもあります。これを使用して、以下を管理できます:
ワークスペース権限 | スーパー管理者 | ワークスペース管理者 | 一般ユーザー |
特定のモデル呼び出しとレート制限の許可 | |||
特定のモデルのファインチューニングの許可 | |||
ユーザー管理 | |||
ユーザーがアクセス可能なページの管理 | |||
API キー管理 | |||
権限付与されたワークスペース、ページ、リソースへのアクセス/使用 |
モデル呼び出しの制限:ワークスペース内でモデルが呼び出せる (コンソールおよび API 経由) かどうかを管理し、モデルの [リクエスト数制限] と [トークン制限] を設定できます。
この制限はデフォルトワークスペースには設定できません。デフォルトワークスペースでは、すべてのモデルがレート制限なしで呼び出せます。
モデルトレーニングの制限:ワークスペース内でモデルがファインチューニング (コンソールおよび API 経由) できるか、およびファインチューニング後にデプロイできるかを管理できます。
この制限はデフォルトワークスペースには設定できません。デフォルトワークスペースでは、ファインチューニングをサポートするすべてのモデルがファインチューニングでき、ファインチューニング完了後にデプロイできます。
ユーザー (アカウント) のコンソール権限管理:RAM ユーザーがワークスペースコンソールの機能を使用できるか、どの機能を使用できるかを管理できます。これは、ユーザーに属する API キーで行われる API 呼び出しを制限するものではありません。
Alibaba Cloud アカウントには設定は不要です。Alibaba Cloud アカウントは、すべてのワークスペースのすべてのページにアクセスできます。
API キーの権限
API キーは、単一のリージョン内で 1 人のユーザーと 1 つのワークスペースにのみ属することができます。別のワークスペースやユーザーに転送することはできません。API キーで呼び出し可能な機能とモデルのレート制限は、その [ホームワークスペース] の権限と一致しており、ユーザー (アカウント) のコンソール権限管理の影響を受けません。
API キーのステータスは、オーナーアカウントでの操作によって変わります。
トリガー操作 | Alibaba Cloud アカウントの API キー | RAM ユーザーの API キー | RAM ロールの API キー |
API キーの削除 | 無効になり、回復できません | 無効になり、回復できません | 無効になり、回復できません |
ワークスペースからユーザーを削除 | - | 無効になります ユーザーがワークスペースに再度追加されると、API キーは再び有効になります。 | 有効なままです |
RAM コンソールでユーザーまたはロールを削除 | - | 無効になり、回復できません | 有効なままです |
API キーの管理:Model Studio コンソールの左側のナビゲーションウィンドウにある [権限] ページに移動します。RAM ユーザーに API キーの権限を追加します。これにより、RAM ユーザーはワークスペース内のすべての API キーを作成、削除、表示する権限が付与されます。
OpenAPI の権限
デフォルトでは、RAM ユーザーには、データ、ナレッジベース、プロンプトエンジニアリングなど、Model Studio アプリケーションの機能の OpenAPI を呼び出す権限がありません。
操作を呼び出すには、RAM コンソールでご自身の Alibaba Cloud アカウントを使用して、RAM ユーザーに次のいずれかの権限を付与する必要があります:
AliyunBailianDataFullAccess:ユーザーが Model Studio アプリケーションの API カタログ内のすべての API を呼び出すことを許可します。
AliyunBailianDataReadOnlyAccess:ユーザーが Model Studio アプリケーションの API カタログ内の読み取り専用 API (DescribeFile - ファイルステータスのクエリやGetIndexJobStatus - ナレッジベース作成ジョブのステータスのクエリなど) を呼び出すことを許可します。
本番環境への適用
ワークスペース計画戦略
環境別 (推奨):開発、テスト、ステージング、本番環境用に個別のワークスペースを作成し、厳密な環境分離を実現します。
project-dev-workspaceproject-test-workspaceproject-prod-workspace
LOB (ビジネスライン) 別:マーケティング、アフターサービス、デザインなど、社内のさまざまなビジネス部門用に個別のワークスペースを作成し、権限とコスト管理を簡素化します。
marketing-team-workspacecustomer-team-workspace
レート制限戦略
ルートアカウントの合計クォータを各ワークスペースに比例して割り当てます。トラフィックの急増に対応するため、一部をバッファーとして確保します。
例:アカウントの合計クォータが 1,000 QPM の場合、割り当て計画は次のようになります:
project-prod-workspace:600 QPM (60%)project-test-workspace:200 QPM (20%)project-dev-workspace:100 QPM (10%)予約バッファー:100 QPM (10%)
課金とサブスクリプションの権限管理
デフォルトでは、RAM ユーザーには Alibaba Cloud の請求書を表示したり、サブスクリプションプロダクトを購入したりする権限がありません。これらの権限を付与するには、RAM コンソールで RAM ユーザーに特定の権限を追加する必要があります。
以下の権限は、RAM ユーザーにすべての Alibaba Cloud プロダクトの請求書を表示する能力、またはすべてのサブスクリプションプロダクトを購入する能力を付与します。これらの権限は慎重に付与してください。
RAM ユーザーが Alibaba Cloud の請求書を表示できるようにするには、RAM ユーザーに
AliyunBSSReadOnlyAccess権限を追加する必要があります。RAM ユーザーが Alibaba Cloud のサブスクリプションプロダクトを購入できるようにするには、RAM ユーザーに
AliyunBSSOrderAccess権限を付与する必要があります。
一般的な設定
スーパー管理者の設定
この操作は、Alibaba Cloud アカウントまたは AliyunRAMFullAccess システムポリシーを持つ RAM ユーザーによって実行される必要があります。
RAM コンソールに移動し、RAM ユーザーに AliyunBailianFullAccess (Model Studio 管理者) と
AliyunBSSOrderAccess(サブスクリプションプロダクトの購入) 権限を追加します。設定が完了すると、ユーザーは任意のリージョンおよび任意のワークスペースの任意の権限を任意の RAM ユーザーに付与し、Model Studio のサブスクリプションプロダクトを購入できるようになります。
ワークスペース管理者の設定
この操作は、スーパー管理者またはワークスペース管理者によって実行される必要があります。
Model Studio コンソールの左側のナビゲーションウィンドウにある [権限] ページに移動し、RAM ユーザーに [管理者] 権限を追加します。
モデル呼び出し権限の設定
[デフォルトワークスペース] を使用していない場合は、ワークスペース内の特定のモデルに対してモデル呼び出し権限が有効になっていることを確認してください。この操作は、スーパー管理者が実行する必要があります。
Model Studio コンソールからモデルを呼び出すには、Model Studio コンソールの左側のナビゲーションウィンドウにある [権限] ページに移動し、RAM ユーザーに次の権限を追加します。この操作は、スーパー管理者またはワークスペース管理者が実行する必要があります。
コンソールでモデルを呼び出すための [ModelExperience-FullAccess] 権限。
バッチ推論機能をサポートするための [BatchInference-FullAccess] 権限。
モデルの呼び出しと評価のトークン消費量を表示できる [ModelObservation-FullAccess] 権限。
Model Studio API を介してモデルを呼び出すには、対応するワークスペースで RAM ユーザーの API キーを作成または割り当てます。詳細については、「API キーの権限」をご参照ください。この操作は、スーパー管理者またはワークスペース管理者が実行する必要があります。
モデルファインチューニングの API 権限の設定
[デフォルトワークスペース] を使用していない場合は、ワークスペース内の特定のモデルに対してモデルファインチューニング (トレーニング) 権限が有効になっていることを確認してください。この操作は、スーパー管理者が実行する必要があります。
対応するワークスペースで RAM ユーザーの API キーを作成または割り当てます。詳細については、「API キーの権限」をご参照ください。この操作は、スーパー管理者またはワークスペース管理者が実行する必要があります。
よくある質問
1. ワークスペース ID を取得するにはどうすればよいですか?
「ワークスペース ID の取得」をご参照ください。
2. サブワークスペースでモデルを呼び出すにはどうすればよいですか?
そのサブワークスペースの API キーを使用するだけです。
3. 特定のワークスペースでアプリケーションを使用するにはどうすればよいですか?
API を使用して特定のワークスペースでアプリケーションを管理および呼び出すには、アプリケーション ID とワークスペース ID の両方を設定します。