Alibaba Cloud Model Studio の権限管理は、コンソールレベルおよびモデルレベルの多層的なアクセス制御を提供します。この機能により、複数のリージョンとユーザーを含む複雑な組織構造における要件を満たします。
Alibaba Cloud Model Studio の ID 管理
単一のワークスペースは、詳細な権限管理(モデルおよびユーザー向け)およびAlibaba Cloud のコスト配分における最小管理単位です。
Model Studio のワークスペース権限管理は、以下の 3 つのロールに基づいています:
-
スーパー管理者:すべてのワークスペースにわたる、ユーザー権限、ワークスペースで利用可能なモデル、モデルのレート制限、および API キーを管理します。
-
ワークスペース管理者:特定のワークスペース内のユーザー権限およびリソースを管理します。
-
一般ユーザー:割り当てられた権限に従ってリソースを利用します。
|
ワークスペース権限 |
スーパー管理者(AliyunBailianFullAccess システムポリシー付与済み) |
ワークスペース管理者 |
一般ユーザー |
|
特定のモデル呼び出しおよびレート制限の許可 |
|
|
|
|
特定のモデルのファインチューニングの許可 |
|
|
|
|
ユーザー管理 |
|
|
|
|
ユーザーによるページへのアクセス管理 |
|
|
|
|
API キー管理 |
|
|
|
|
承認済みのワークスペース、ページ、およびリソースへのアクセス/利用 |
|
|
|
|
|
|
|
スーパー管理者
このロールには、以下の 2 種類のアカウントが含まれます:
-
Alibaba Cloud アカウント。Model Studio コンソールの右上隅に表示されるアカウントです:
-
「AliyunBailianFullAccess」(Model Studio 管理者) システムポリシーを持つ RAM ユーザー です。この RAM ユーザーは、Model Studio の グローバル管理メニュー ( Singapore | Beijing | Virginia) を使用して、自身を含む任意の RAM ユーザーに対し、任意の リージョン と ワークスペース のほぼすべての権限を付与できます。Alibaba Cloud アカウントのみが OpenAPI インターフェイス権限 を追加できます。
RAM ユーザー は、Alibaba Cloud アカウントがチームメンバーにクラウドリソースおよび権限を安全に割り当てるために作成するサブアカウントです。
これは右上隅で確認できます。
スーパー管理者は、Model Studio のグローバル管理メニュー( シンガポール | 北京 | バージニア)を使用して、複数のワークスペースを管理できます。管理機能には以下が含まれます:
-
新しいワークスペースの作成およびワークスペース名の管理。
-
すべてのワークスペースに対するモデルおよびモデルレート制限の管理。
-
すべてのワークスペースに対するアカウント(ユーザー)の管理。
-
すべての API キーの管理。
モデルモニタリングなどの機能を有効化するには、コンソールで一括承認を行い、これらのサービスを有効化するために、Alibaba Cloud アカウントをご使用ください。
ワークスペース管理者
ワークスペース管理者とは、特定のワークスペースのPermissionsページにアクセスできる Alibaba Cloud RAM ユーザーです。このページは、ワークスペースの管理に使用されます。
管理者 権限には、そのワークスペース内のすべてのページへのアクセスが含まれます。
ワークスペース権限管理
Model Studio では、リソースおよびワークスペースが地理的リージョンごとに整理されています。ワークスペースは複数のリージョンにまたがることはできません。異なるリージョンにあるデフォルトのワークスペースも、それぞれ独立したエンティティです。 グローバル管理メニュー( シンガポール | 北京 | バージニア)に移動できます。
Model Studio のワークスペースは、詳細な権限管理における最小単位です。これを使用して、以下を管理できます:
|
ワークスペース権限 |
スーパー管理者(AliyunBailianFullAccess システムポリシー付与済み) |
ワークスペース管理者 |
一般ユーザー |
|
特定のモデル呼び出しおよびレート制限の許可 |
|
|
|
|
特定のモデルのファインチューニングの許可 |
|
|
|
|
ユーザー管理 |
|
|
|
|
ユーザーによるページへのアクセス管理 |
|
|
|
|
API キー管理 |
|
|
|
|
承認済みのワークスペース、ページ、およびリソースへのアクセス/利用 |
|
|
|
|
|
|
|
-
モデル呼び出しの制限:ワークスペース内で、モデルをコンソールまたは API 経由で呼び出すことを許可するかどうかを管理できます。また、モデルに対してRequest Number LimitおよびToken Limitを設定できます。
デフォルトのワークスペースでは、この制限を設定できません。すべてのモデルが呼び出せ、レート制限の設定もできません。
-
モデル学習の制限:ワークスペース内で、モデルをコンソールまたは API 経由でファインチューニングすること、およびファインチューニング後にデプロイすることを許可するかどうかを管理できます。
デフォルトのワークスペースでは、この制限を設定できません。ファインチューニングに対応するすべてのモデルは、ファインチューニングおよびその後のデプロイが可能です。
-
ユーザー(アカウント)のコンソール権限管理:RAM ユーザーがワークスペースのコンソール機能を使用できるかどうか、およびどの特定の機能にアクセスできるかを管理できます。この権限は、ユーザーが所有する API キーを用いた API 呼び出しには影響しません。
Alibaba Cloud アカウントはこの設定を必要とせず、すべてのワークスペースのすべてのページにアクセスできます。
API キーの権限
API キーは、1 つのリージョン内において、1 つのワークスペースおよび 1 人のユーザーにのみ所属できます。他のワークスペースやユーザーへ転送することはできません。API キーを用いて呼び出せる機能およびモデルのレート制限は、そのワークスペースの権限と一致し、ユーザー(アカウント)のコンソール権限管理の影響を受けません。
API キーのステータスは、関連付けられたユーザーに対して実行された操作に応じて変化します:
API キーの管理:Model Studio コンソールの左側ナビゲーションウィンドウにあるPermissionsタブで、RAM ユーザーに API キーの管理権限を付与できます。これにより、RAM ユーザーはワークスペース内のすべての API キーを作成、削除、および表示できます。
OpenAPI 権限
デフォルトでは、RAM ユーザーは、アプリケーションデータ、ナレッジベース、プロンプトエンジニアリング、などの機能を提供する Alibaba Cloud Model Studio のOpenAPI を呼び出す権限を付与されていません。
この権限を付与するには、Alibaba Cloud アカウントはRAM コンソールで、RAM ユーザーに次のいずれかの権限を追加する必要があります:
-
AliyunBailianDataFullAccess:Model Studio アプリケーションのAPI カタログ内のすべての API を呼び出すことができます。
-
AliyunBailianDataReadOnlyAccess:Model Studio アプリケーションのAPI カタログ内の読み取り専用 API を呼び出すことができます。例: DescribeFile - ファイル状態の照会およびGetIndexJobStatus - ナレッジベース作成タスクのステータス照会などです。
本番環境に適用
-
ワークスペース計画ポリシー
-
環境別(推奨):開発、テスト、プレプロダクション、本番環境ごとに個別のワークスペースを作成し、厳格な環境隔離を実現します。
-
project-dev-workspace -
project-test-workspace -
project-prod-workspace
-
-
LOB(事業部門)別:マーケティング、アフターサービス、デザインなど、企業内の異なる事業部門ごとに個別のワークスペースを作成します。これにより、権限およびコスト管理が簡素化されます。
-
marketing-team-workspace -
customer-team-workspace
-
-
-
レート制限戦略
-
ルートアカウントの合計クォータを各ワークスペースに比例配分できます。トラフィックのバーストに対応するため、一部をバッファーとして確保することを推奨します。
たとえば、合計アカウントクォータが 1,000 QPM の場合、配分計画は以下のようになります:
-
project-prod-workspace:600 QPM(60%) -
project-test-workspace:200 QPM(20%) -
project-dev-workspace:100 QPM(10%) -
予約バッファー:100 QPM(10%)
-
-
請求書の確認およびサブスクリプション権限の管理
デフォルトでは、Resource Access Management (RAM) ユーザーは、Alibaba Cloud の請求書を確認したり、Alibaba Cloud のサブスクリプション製品を購入したりする権限を持っていません。これらの権限を RAM ユーザーに付与するには、Resource Access Management (RAM) コンソールで、RAM ユーザーに特定の権限を追加する必要があります。
以下の権限は、RAM ユーザーにすべての Alibaba Cloud 製品の請求書を確認する権限、またはすべての Alibaba Cloud サブスクリプション製品を購入する権限を付与します。これらの権限は慎重に付与してください。
-
RAM ユーザーが Alibaba Cloud の請求書を確認できるようにするには、RAM ユーザーに
AliyunBSSReadOnlyAccess権限を付与する必要があります。 -
RAM ユーザーが Alibaba Cloud のサブスクリプション製品を購入できるようにするには、RAM ユーザーに
AliyunBSSOrderAccess権限を付与する必要があります。
共通設定
スーパー管理者の設定
この操作には、Alibaba Cloud アカウント、またはAliyunRAMFullAccess システムポリシーを付与された RAM ユーザーが必要です。
-
Resource Access Management (RAM) コンソールに移動し、RAM ユーザーにAliyunBailianFullAccess(Model Studio 管理者)権限および
AliyunBSSOrderAccess(Alibaba Cloud のサブスクリプション製品購入)権限を付与します。 -
設定が完了したら、Alibaba Cloud Model Studio のグローバル管理メニュー(シンガポール | 北京 | バージニア)を使用して、任意のリージョンおよび任意のワークスペースに対して、任意の RAM ユーザー(自身を含む)にあらゆる権限を付与し、Alibaba Cloud Model Studio のサブスクリプション製品を購入できます。
ワークスペース管理者の設定
この操作には、スーパー管理者またはワークスペース管理者が必要です。
-
Model Studio コンソールの左側ナビゲーションウィンドウにあるPermissionsタブで、RAM ユーザーに管理者権限を付与します。
モデル呼び出し権限の設定
-
デフォルトのワークスペースを使用していない場合は、ワークスペース内の特定のモデルに対してモデル呼び出し権限が有効になっていることを確認します。この操作にはスーパー管理者が必要です。
-
Model Studio コンソールからモデルを呼び出す場合、Model Studio コンソールの左側ナビゲーションウィンドウにあるPermissionsタブで、RAM ユーザーに以下の権限を付与します。この操作には、スーパー管理者またはワークスペース管理者が必要です。
-
Playground - 操作権限:コンソールでのモデル呼び出しに使用されます。
-
バッチ推論 - 操作権限:バッチ推論機能をサポートするために使用されます。
-
モデルモニタリング - 操作権限:モデル呼び出しおよび評価におけるトークン消費量を表示するために使用されます。
-
-
Model Studio API 経由でモデルを呼び出す場合、対応するワークスペース内で RAM ユーザーに API キーを作成または割り当てます。詳細については、このトピック内のAPI キーの権限をご参照ください。この操作には、スーパー管理者またはワークスペース管理者が必要です。
モデルファインチューニングの API 権限の設定
-
デフォルトのワークスペースを使用していない場合は、ワークスペース内の特定のモデルに対してモデルファインチューニング(学習)権限が有効になっていることを確認します。この操作にはスーパー管理者が必要です。
-
対応するワークスペース内で RAM ユーザーに API キーを作成または割り当てます。詳細については、このトピック内のAPI キーの権限をご参照ください。この操作には、スーパー管理者またはワークスペース管理者が必要です。
よくある質問
1. ワークスペース ID を取得する方法を教えてください。
詳細については、「ワークスペース ID の取得方法」をご参照ください。
2. サブワークスペースを使用してモデルを呼び出す方法を教えてください。
特別な設定は不要です。サブワークスペースの API キーをそのまま使用できます。
3. 特定のワークスペースでアプリケーションを使用する方法を教えてください。
API を使用して特定のワークスペースでアプリケーションを管理および呼び出すには、APP ID およびワークスペース ID の両方を設定する必要があります。