RAM ユーザーが Alibaba Cloud Model Studio を使用または管理するために必要な権限を持っていない場合、必要な権限を持つ RAM ロールをユーザーに割り当てることができます。その後、ユーザーはこのロールを偽装して Model Studio を使用または管理できます。
RAM ユーザー、ワークスペース、権限などの概念に慣れていない場合は、まず「チームコラボレーションの権限を設定する」をお読みください。
Alibaba Cloud アカウントを使用して、次の操作を実行できます。RAM ユーザーを使用する場合は、RAM ユーザーに AliyunRAMFullAccess システムポリシーを付与する必要があります。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。背景情報
Model Studio は、以下のログイン方法をサポートしています。
Alibaba Cloud アカウントまたは RAM ユーザーでログイン
Alibaba Cloud アカウントまたは RAM ユーザーで Model Studio にログインして使用できます。アカウントが Model Studio ワークスペースのメンバーとして追加された後、アカウントとパスワードで Model Studio コンソールにログインできます。その後、ログインしたアカウントの権限で Model Studio を使用できます。
RAM ロールでログイン
一部のエンタープライズユーザーは、ロールベースのシングルサインオン (SSO) を使用してログインし、Model Studio を使用することを好みます。RAM ロールが Model Studio ワークスペースのメンバーになると、そのロールを偽装したユーザーは、アカウントメンバーと同じ Model Studio 権限を持ちます。
手順
次の図は、RAM ユーザーの作成、ロールを偽装する権限の付与、Model Studio の使用を含む完全なプロセスを示しています。
ステップ 1:RAM ユーザーを作成する
詳細については、「RAM ユーザーの作成」をご参照ください。RAM ユーザーが既に存在する場合は、このステップをスキップできます。
ステップ 2:RAM ロールを作成する
次のいずれかの方法で RAM ロールを作成できます:
Alibaba Cloud コンソールで ID を切り替えてロールを偽装するには、「信頼できる Alibaba Cloud アカウントの RAM ロールを作成する」をご参照ください。
エンタープライズ ID プロバイダー (IdP) と Alibaba Cloud の間でロールベース SSO を実装するには、「信頼できる ID プロバイダーの RAM ロールを作成する」および「SSO の概要」をご参照ください。
ステップ 3: RAM ユーザーにロールを偽装する権限を付与する
前のステップでエンタープライズ IdP アカウントを使用して RAM ロールを偽装することを選択した場合は、このステップをスキップできます。
RAM ユーザーと RAM ロールを作成した後、RAM ユーザーに RAM ロールを偽装する権限を付与する必要があります。次のいずれかのメソッドを選択できます:
方法 1:RAM ユーザーがすべての RAM ロールを偽装できるようにする。
メソッド 2: RAM ユーザーが特定の RAM ロールのみを偽装できるようにします。
メソッド 2 は、より詳細なアクセスの制御を提供します。メソッド 1 は設定が簡単です。
RAM ユーザーがすべての RAM ロールを偽装できるようにする
RAM ユーザーが特定の RAM ロールを偽装できるようにする
RAM コンソールの左側のナビゲーションウィンドウで、 を選択します。
[ポリシーの作成] をクリックします。
[JSON] タブで、次の内容を入力します。
acs:ram:*:<account-id>:role/<role-name>を、ステップ 2 で作成したロールの Alibaba Cloud リソースネーム (ARN) に置き換えます。ロール ARN の表示方法の詳細については、「RAM ロールと STS トークンに関するよくある質問」をご参照ください。ARN は RAM ロールのグローバルリソース記述子であり、ロールを指定するために使用されます。
{ "Statement": [ { "Action": "sts:AssumeRole", // sts:AssumeRole アクション "Effect": "Allow", // 許可 "Resource": "acs:ram:*:<account-id>:role/<role-name>" // ロール ARN } ], "Version": "1" // バージョン }[OK] をクリックします。ポリシーの名前と説明を入力し、作成を完了します。
カスタムポリシーを RAM ユーザーに付与します。これにより、ユーザーはこの RAM ロールの権限を偽装できます。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
ステップ 4:RAM ロールにワークスペース権限を付与する
この操作は、Alibaba Cloud アカウントまたは管理権限 (グローバル管理) を持つ RAM ユーザーとして実行する必要があります。
RAM ロールがアクセスして使用できるワークスペースを指定できます。
アカウント (シンガポールまたは北京) ページに移動し、[ユーザーの追加] をクリックして、次のパラメーターを設定します。
RAM ロールがアカウントに既に存在する場合は、[アクション] 列の [権限] をクリックして権限を付与します。
タイプ: [RAM ロール] を選択します。
RAM ロール: 作成したばかりの RAM ロールを選択します。
表示名: Model Studio で使用する RAM ロールの名前を入力します。
[OK] をクリックします。追加された RAM ロールがリストに表示されます。
ロールの右側にある [権限] をクリックし、[権限] の横にある [+] をクリックします。ウィザードに従って、ロールがアクセスできるワークスペースとコンソールページを選択します。
管理者: このロールを使用すると、ユーザーは、ページの右上隅にある
ボタンからアクセスできる機能 (これを開くとシステム (シンガポールまたは北京) ページが開きます) を除き、割り当てられたワークスペースのすべての機能にアクセスできます。[完了] をクリックします。権限付与はすぐに有効になります。
「コンソールで RAM ロールを偽装する」を参照して、RAM ユーザー ID を切り替えます。ID を切り替えた後、ロールを偽装して Model Studio コンソール (シンガポールまたは北京) にログインします。その後、対応するワークスペースにアクセスして使用できます。コンソールでワークスペースを切り替えることもできます。
ステップ 5 (オプション):RAM ロールに API 権限を付与する
RAM ユーザーがナレッジベース、プロンプトエンジニアリングなどの機能の API を呼び出す必要がある場合は、RAM ロールのデータ権限も設定する必要があります。
RAM コンソールの左側のナビゲーションウィンドウで、 を選択します。
ロールの [アクション] 列で、[権限の付与] をクリックします。
[リソース範囲] を [アカウント] に設定します。[ポリシー] セクションで、
AliyunBailianDataFullAccessまたはAliyunBailianDataReadOnlyAccessを検索して選択します。[権限の付与] をクリックします。権限を取り消す方法を学びます。不要なセキュリティリスクを回避するために、ロールがタスクを実行するために必要な最小限の権限のみを付与してください。
システムポリシー名
権限の説明
AliyunBailianDataFullAccess
API カタログのすべての API を呼び出すことができます。
AliyunBailianDataReadOnlyAccess
API カタログの読み取り専用 API (DescribeFile や GetIndexJobStatus など) を呼び出すことができます。
API リファレンスで、Retrieve、AddFile、CreateIndex などの作成、削除、または変更 API を呼び出すことはできません。
ステップ 6 (オプション):RAM ロールに Model Studio 管理権限を付与する
RAM ユーザーが Alibaba Cloud アカウント配下のすべての Model Studio ワークスペース、アカウント、API キーを管理する必要がある場合は、RAM ロールにチームコラボレーション権限も設定する必要があります。
次のステップ
「Model Studio を使い始める」をご参照ください。