権限管理 - Alibaba Cloud Model Studio - Alibaba Cloud ドキュメントセンター

チームコラボレーションのために Alibaba Cloud アカウントを直接共有すると、セキュリティリスクが生じます。代わりに、Resource Access Management (RAM) ユーザーを作成し、各ユーザーに詳細な権限を付与します。これらの権限は、アクセスできるワークスペース、使用できる機能、および呼び出しできるモデルを定義します。

ワークスペース: Alibaba Cloud アカウントに Alibaba Cloud Model Studio を使用する複数のサービスまたはプロジェクトがある場合は、それらを異なるワークスペースに分割します。これにより、モデルの呼び出しの制御や、各ワークスペースのアプリケーションとデータの隔離など、個別の管理が可能になります。詳細については、「ワークスペース管理」をご参照ください。

コアコンセプト

権限を正しく設定するには、まずさまざまな種類のアカウントを理解する必要があります:

Alibaba Cloud アカウント: これは メインアカウント です。Model Studio のすべての権限を持っています。RAM ユーザーを作成および管理し、権限を付与できます。
RAM ユーザー: これは、通常 Alibaba Cloud アカウントによって作成される サブアカウント です。RAM ユーザーは、Model Studio を使用および管理する前に、Alibaba Cloud アカウントから権限を付与される必要があります。RAM ユーザーの詳細

Alibaba Cloud アカウントの使用は便利ですが、セキュリティ上の理由から、適切に設定された権限を持つ RAM ユーザーの使用を推奨します。RAM ユーザーには、次の 4 種類の権限を付与できます:

メンバー権限: RAM ユーザーは、参加しているワークスペース内のページとデータに対して読み取り専用アクセスのみを持ちます。この権限には、システム管理、権限管理、およびキー管理は含まれません。ワークスペースへの参加方法
操作権限: ワークスペース内のページで作成、削除、編集などの書き込み操作を実行するには、RAM ユーザーは対応するページの操作権限を取得する必要があります。
API 権限: アプリケーションデータ、ナレッジベース、プロンプトエンジニアリングなどの機能の API を呼び出すには、RAM ユーザーは対応する API の権限を取得する必要があります。
管理権限: RAM ユーザーを使用して Model Studio で機能をアクティブ化し、サブスクリプション注文の支払いを行うか、[システム管理] ページにアクセスして Alibaba Cloud アカウント下のワークスペース、メンバー、および API キーを管理するには、ユーザーはグローバル管理権限を取得する必要があります。
重要
管理権限には、特定のワークスペースへのアクセスは含まれません。ワークスペースにアクセスするには、ユーザーはそのワークスペースのメンバー権限も取得する必要があります。

主な例

1. プロジェクトメンバーとして、権限を設定するにはどうすればよいですか？

シナリオ: RAM ユーザー user-01 を使用して、Project A という名前のワークスペースで AI アプリケーションを開発します。

プロシージャ:

(Alibaba Cloud アカウントを使用) ワークスペースの作成: Model Studio コンソールで、Project A という名前のワークスペースを作成して、プロジェクトリソースを隔離します。ワークスペースの作成方法
すでにワークスペースがある場合は、このステップをスキップしてください。
(Alibaba Cloud アカウントを使用) RAM ユーザーの作成: RAM コンソールで、user-01 という名前の RAM ユーザーを作成します。RAM ユーザーの作成方法
この時点では、ユーザーはどのワークスペースにも参加していません。Model Studio にログインすると、「このワークスペースに対する権限がありません」というメッセージが表示されます。
(Alibaba Cloud アカウントを使用) メンバー権限と操作権限の設定: 新しいユーザー user-01 をワークスペースに追加し、モデルとアプリケーションに関連するページの操作権限を付与します。
(RAM ユーザーを使用) ログインと検証: user-01 が Model Studio コンソールにログインし、サービスの使用を開始します。

2. 私は管理者です

シナリオ: RAM ユーザー admin-01 を使用して、Alibaba Cloud アカウント下のすべてのワークスペースを管理します。たとえば、特定のワークスペースへのアクセスを必要とせずに、ワークスペースの作成や削除、メンバーや API キーの管理を行います。

プロシージャ:

(Alibaba Cloud アカウントを使用) RAM ユーザーの作成: RAM コンソールで、admin-01 という名前の RAM ユーザーを作成します。
(Alibaba Cloud アカウントを使用) 管理権限の設定: admin-01 に管理権限を付与します。
管理権限には、特定のワークスペースへのアクセスは含まれません。ワークスペースにアクセスするには、例 1 をご参照ください。
(RAM ユーザーを使用) ログインと検証: admin-01 が Model Studio コンソールにログインして、リソースの管理を開始します。詳細については、「ワークスペース管理」および「メンバー管理」をご参照ください。

権限リクエストフロー

RAM ユーザーと RAM ロールは、このセクションの指示に従って、Model Studio への完全なアクセスと使用に必要な権限を取得できます。

RAM ロール: 複数の RAM ユーザーが事前定義されたロールを偽装して、Model Studio を使用するための統一された権限セットを取得できます。

RAM ユーザーの使用

ステップ	説明
ステップ 1: ワークスペースへの参加	RAM ユーザーは、まずワークスペースに参加して、そのワークスペース内のリソースとデータに対する読み取り専用権限を取得する必要があります。メンバーが追加された後、権限は通常数秒で有効になりますが、ピーク時にはわずかな遅延が発生する場合があります。有効になると、RAM ユーザーは権限付与されたワークスペースにログインできます。
ステップ 2: 操作権限の取得	参加したワークスペース内では、RAM ユーザーはデフォルトで、システム管理、権限管理、およびキー管理を除くすべての機能ページに対して読み取り専用権限 (表示など) を持ちます。「操作」とは、追加の書き込み権限 (作成、削除、編集など) を指します。重要モデルの承認について (サブワークスペースのメンバーの場合) デフォルトワークスペースのメンバーはモデルの権限付与を必要としないため、この注記をスキップできます。サブワークスペース (デフォルト以外のワークスペース) のメンバーがモデルを呼び出しできるかどうかは、そのワークスペースがそのモデルに対する呼び出し権限を持っているかどうかによって決まります。詳細については、「モデルの権限付与」をご参照ください。ワークスペースにこれらの権限がすでに付与されている場合は、再度付与する必要はありません。
ステップ 3: API 権限の取得	アプリケーションデータ、ナレッジベース、プロンプトエンジニアリングなどの機能の API を呼び出すには、RAM ユーザーはAPI 権限を取得する必要があります。
ステップ 4 (任意): 管理権限の取得	RAM ユーザーがワークスペース内で機能をアクティブ化したり、サブスクリプション注文の支払いを行ったり、ワークスペースをまたいでグローバル管理 (すべてのワークスペース、メンバー、API キーの管理など) を実行したりする必要がある場合は、管理権限を取得する必要があります。
次のステップ	Model Studio の使用を開始する

RAM ロールの使用

ステップ	説明
ステップ 1: ワークスペースへの参加	RAM ロールは、まずワークスペースに参加して、そのワークスペース内のリソースとデータに対する読み取り専用権限を取得する必要があります。詳細については、「RAM ロールとして Model Studio にログインして使用する」のステップ 1 から 4 をご参照ください。メンバーが追加された後、権限は通常数秒で有効になりますが、ピーク時にはわずかな遅延が発生する場合があります。有効になると、RAM ユーザーは RAM ロールを偽装して権限付与されたワークスペースにログインできます。
ステップ 2: 操作権限の取得	参加したワークスペース内では、RAM ロールはデフォルトで、システム管理、権限管理、およびキー管理を除くすべての機能ページに対して読み取り専用権限 (表示など) を持ちます。「操作」とは、追加の書き込み権限 (作成、削除、編集など) を指します。詳細については、「RAM ロールとして Model Studio にログインして使用する」のステップ 4 をご参照ください。重要モデルの権限付与について (サブワークスペースのメンバー向け) デフォルトワークスペースのメンバーはモデルの権限付与を必要としないため、この注記をスキップできます。サブワークスペース (デフォルト以外のワークスペース) のメンバーがモデルを呼び出しできるかどうかは、そのワークスペースがそのモデルに対する呼び出し権限を持っているかどうかによって決まります。詳細については、「モデルの権限付与」をご参照ください。ワークスペースにこれらの権限がすでに付与されている場合は、再度付与する必要はありません。
ステップ 3: API 権限の取得	アプリケーションデータ、ナレッジベース、プロンプトエンジニアリングなどの機能の API を呼び出すには、RAM ロールは API 権限を取得する必要があります。詳細については、「RAM ロールとして Model Studio にログインして使用する」のステップ 5 をご参照ください。
ステップ 4 (任意): 管理権限の取得	RAM ロールがワークスペース内で機能をアクティブ化したり、サブスクリプション注文の支払いを行ったり、ワークスペースをまたいでグローバル管理 (すべてのワークスペース、メンバー、API キーの管理など) を実行したりする必要がある場合は、管理権限を取得する必要があります。詳細については、「RAM ロールとして Model Studio にログインして使用する」のステップ 6 をご参照ください。
次のステップ	Model Studio の使用を開始する

本番稼働

最小権限の原則: タスクを完了するために必要な最小限の権限のみを付与します。たとえば、特定のワークスペースの機能に対する操作権限のみを必要とする開発者には、管理権限を付与すべきではありません。
日常業務には RAM ユーザーを使用する: Alibaba Cloud アカウントは、権限付与とコスト管理にのみ使用します。AI アプリケーション開発やモデル呼び出しなどのすべての日常タスクは、RAM ユーザーを使用して実行します。
ワークスペースを使用して環境を隔離する: 開発、テスト、本番などのさまざまなプロジェクト、チーム、または環境ごとに個別のワークスペースを作成して、厳格な権限とデータの隔離を徹底します。
権限を定期的に監査する: RAM ユーザーの権限を定期的に確認します。不要になった権限は速やかに削除するか、チームを離れたユーザーのメンバーアカウントを削除します。

よくある質問

ワークスペースの作成やアカウント管理のエントリーポイントが見つからないのはなぜですか？

これらの機能は、システム管理 (シンガポールまたは北京) ページにあります。このページにアクセスするには、まず管理権限を取得する必要があります。

RAM ユーザーまたは RAM ロールを使用している場合、請求書を表示するにはどうすればよいですか？

現在、RAM ユーザーと RAM ロールは特定のプロダクトの請求書を表示できません。すべてのプロダクトの請求書を表示するには、Alibaba Cloud アカウントが RAM コンソールで RAM ユーザーまたは RAM ロールに AliyunBSSReadOnlyAccess システムポリシーを付与する必要があります。具体的なプロシージャについては、RAM ユーザーの場合は「RAM ユーザーに権限を付与する」を、RAM ロールの場合は「RAM ロールに権限を付与する」をご参照ください。

Alibaba Cloud Model Studio のサブスクリプション注文の支払い時に bss:PayOrder エラーが発生した場合はどうすればよいですか？

デフォルトでは、RAM ユーザーにはサブスクリプション注文の支払い権限がありません。この権限を付与するには、Alibaba Cloud アカウントが RAM ユーザーまたは RAM ロールに管理権限と AliyunBSSOrderAccess システムポリシーを付与する必要があります。権限付与のプロシージャについては、RAM ユーザーの場合は「RAM ユーザーに権限を付与する」を、RAM ロールの場合は「RAM ロールに権限を付与する」をご参照ください。

RAM ユーザーまたは RAM ロールにすでに AdministratorAccess システムポリシーがある場合でも、管理権限 (AliyunBailianFullAccess ポリシー) を設定する必要がありますか？

AdministratorAccess ポリシーには、すでに AliyunBailianFullAccess ポリシーが含まれています。AdministratorAccess ポリシーを持つ RAM ユーザーまたは RAM ロールは、すでにグローバル管理権限を持っており、追加の設定は必要ありません。

RAM ユーザーで AliyunSFMFullAccess/AliyunBailianFullAccess 権限エラーが発生した場合はどうすればよいですか？

Alibaba Cloud アカウントは、RAM ユーザーまたは RAM ロールに AliyunBailianFullAccess システムポリシーを付与する必要があります。具体的なプロシージャについては、RAM ユーザーの場合は「管理権限」を、RAM ロールの場合は「RAM ロールに管理権限を付与する」をご参照ください。

NoPermission, sfm:GetRetrievePromptPipelineMaxLimit エラーが発生した場合はどうすればよいですか？

Alibaba Cloud アカウントは、RAM ユーザーまたは RAM ロールに AliyunBailianDataFullAccess システムポリシーを付与する必要があります。AliyunBailianDataReadOnlyAccess ポリシーでは不十分です。具体的なプロシージャについては、RAM ユーザーの場合は「API 権限」を、RAM ロールの場合は「RAM ロールに API 権限を付与する」をご参照ください。

RAM ユーザーまたは RAM ロールを使用する場合、モデルの呼び出しなどの機能を初めてアクティブ化したり、サブスクリプション注文の支払いを行ったりするには、どの RAM 権限が必要ですか？

機能	必要な権限
モデル呼び出し	Alibaba Cloud アカウントは、RAM ユーザーまたは RAM ロールに `AliyunBailianFullAccess` システムポリシーを付与する必要があります。具体的なプロシージャについては、RAM ユーザーの場合は「管理権限」を、RAM ロールの場合は「RAM ロールに管理権限を付与する」をご参照ください。
サブスクリプション注文の支払い	Alibaba Cloud アカウントは、RAM ユーザーまたは RAM ロールに `AliyunBSSOrderAccess` および `AliyunBailianFullAccess` システムポリシーを付与する必要があります。具体的なプロシージャについては、RAM ユーザーの場合は「RAM ユーザーに権限を付与する」を、RAM ロールの場合は「RAM ロールに権限を付与する」をご参照ください。