AI Search Open Platform を使用するために必要な最小限の権限を RAM ユーザーに付与します。 - OpenSearch

企業内で複数のユーザーが同じサービスにアクセスする必要がある場合は、RAM ユーザーを作成し、必要最小限の権限のみを付与します。これにより、Alibaba Cloud アカウントのパスワードや AccessKey の共有を回避できます。

利用シーン

以下のシナリオでは、RAM ユーザーを作成し、必要最小限の権限を付与します：

RAM ユーザーが API または SDK を介して AI Search Open Platform サービスを呼び出す場合。ユーザーは AccessKey を使用して認証します。
RAM ユーザーが AI Search Open Platform コンソールを使用する場合。一般的なシナリオは次のとおりです：
- ワークスペースを作成し、AI Search Open Platform を有効化する。
- API キーを管理する。
  
  重要
  AI Search Open Platformでは、API キーのスコープは特定のワークスペースに限定されます。あるワークスペースの有効な API キーを持つ RAM ユーザーは、別途 RAM 認可がなくても、API または SDK を介してそのワークスペース内のすべてのサービスを呼び出すことができます。
- 体験センターを使用して、ドキュメント解析やドキュメントチャンキングなどのサービスを試す。
- RAG チェーンで評価を実行する。

権限ポリシー

システムポリシー

Alibaba Cloud は、AI Search Open Platform 向けに 2 つのシステムポリシーを提供および維持しています。これらは使用できますが、変更はできません：

AliyunOpenSearchFullAccess：OpenSearch サービスへのフルアクセスを許可します。権限リスト内のすべての権限が含まれます。慎重に割り当ててください。
AliyunOpenSearchReadOnlyAccess：OpenSearch サービスへの読み取り専用アクセスを許可します。権限リスト内のすべての List および Describe コントロール API 権限、およびすべてのトラフィック API 権限が含まれます。

カスタムポリシー

詳細な権限を付与するために、カスタムポリシーを作成します。

権限リスト

API 権限の管理

カテゴリ	API	RAM アクション	リソース	説明
ワークスペース	`CreateWorkspace`	`searchplat:WriteWorkspace`	`workspaces/*`	ワークスペースを作成し、AI Search Open Platform を有効化します。説明 AI Search Open Platform の有効化は無料です。サービスを利用するまで課金されません。
	`UpdateWorkspace`	`searchplat:WriteWorkspace`	`workspaces/{workspaceName}`	ワークスペースを変更します。
	`GetWorkspace`	`searchplat:DescribeWorkspace`	`workspaces/{workspaceName}`	ワークスペースの詳細を取得します。
	`ListWorkspaces`	`searchplat:ListWorkspaces`	`workspaces/*`	ワークスペースを一覧表示します。
	`ListServices`	`searchplat:ListServices`	`workspaces/{workspaceName}`	サービスを一覧表示します。
アクセス認証情報	`CreateCredentials`	`searchplat:WriteCredentials`	`workspaces/{workspaceName}`	アクセス認証情報を作成します。
	`DeleteCredentials`	`searchplat:WriteCredentials`	`workspaces/{workspaceName}`	アクセス認証情報を削除します。
	`UpdateCredentials`	`searchplat:WriteCredentials`	`workspaces/{workspaceName}`	アクセス認証情報を変更します。
	`GetCredentials`	`searchplat:DescribeCredentials`	`workspaces/{workspaceName}`	アクセス認証情報の詳細を取得します。
	`ListCredentials`	`searchplat:DescribeCredentials`	`workspaces/{workspaceName}`	アクセス認証情報を一覧表示します。
無料クォータの残量	`GetMeasure`	`searchplat:DescribeMeasure`	`workspaces/{workspaceName}`	ワークスペースの無料クォータの残量を取得します。説明有効化後、各 Alibaba Cloud アカウントは 10 回の無料サービス呼び出しを受け取ります。無料クォータは、Alibaba Cloud アカウントとその RAM ユーザー間で共有されます。今すぐ有効化をクリックして、モデルサービスをお試しください。 10 回の無料呼び出しを使い切った後は、モデルサービスの使用量に基づいて料金が発生します。
体験データ	`CreateExperienceData`	`searchplat:WriteExperienceData`	`workspaces/{workspaceName}`	体験データを追加します。
	`DeleteExperienceData`	`searchplat:WriteExperienceData`	`workspaces/{workspaceName}`	体験データを削除します。
	`GetExperienceData`	`searchplat:DescribeExperienceData`	`workspaces/{workspaceName}`	体験データの詳細を取得します。
	`ListExperienceData`	`searchplat:DescribeExperienceData`	`workspaces/{workspaceName}`	体験データを一覧表示します。
非同期タスク	`CreateAsyncTask`	`searchplat:WriteAsyncTask`	`workspaces/{workspaceName}`	非同期ドキュメント解析タスクを作成します。
	`GetAsyncTask`	`searchplat:DescribeAsyncTask`	`workspaces/{workspaceName}`	非同期ドキュメント解析タスクの詳細を取得します。
	`ListAsyncTasks`	`searchplat:DescribeAsyncTask`	`workspaces/{workspaceName}`	非同期ドキュメント解析タスクを一覧表示します。
評価	`CreateRagEvaluatorTask`	`searchplat:WriteEvaluation`	`workspaces/{workspaceName}`	評価タスクを作成します。
	`GetRagEvaluatorTask`	`searchplat:DescribeEvaluation`	`workspaces/{workspaceName}`	評価タスクの詳細を取得します。
	`ListRagEvaluatorTasks`	`searchplat:DescribeEvaluation`	`workspaces/{workspaceName}`	評価タスクを一覧表示します。
	`DeleteRagEvaluatorTask`	`searchplat:WriteEvaluation`	`workspaces/{workspaceName}`	評価タスクを削除します。
モデルサービス	`CreateFunctionInstance`	`searchplat:WriteFunction`	`workspaces/{workspaceName}`	サービスまたはモデルを作成します。
	`CreateFunctionTask`		`workspaces/{workspaceName}`	サービス構成をすぐに有効化します。
	`UpdateFunctionInstance`		`workspaces/{workspaceName}`	サービスまたはモデルの構成を変更します。
	`DeleteFunctionInstance`		`workspaces/{workspaceName}`	サービスまたはモデルの構成を削除します。
	`ListFunctionInstances`	`searchplat:DescribeFunction`	`workspaces/{workspaceName}`	サービスまたはモデルの構成を一覧表示します。
	`GetFunctionInstance`	`searchplat:DescribeFunction`	`workspaces/{workspaceName}`	サービスまたはモデルの構成の詳細を取得します。
	`GetTableFields`	`searchplat:GetTableFields`	`workspaces/{workspaceName}`	MaxCompute テーブルのスキーマを取得します。
	`CeaseFunctionInstance`	`searchplat:CeaseFunctionInstance`	`workspaces/{workspaceName}`	サービスを停止します。
	`ResumeFunctionInstance`	`searchplat:ResumeFunctionInstance`	`workspaces/{workspaceName}`	サービスを再開します。
モデルサービス - サービスデプロイメント	`ListFunctionRestrictions`	`searchplat:ListFunctionRestrictions`	`workspaces/{workspaceName}`	関数の制限 (利用可能なデプロイメントリージョン、モデルカテゴリ、モデルタイプ、モデル) を取得します。

トラフィック API 権限

API	RAM アクション	リソース	説明
`GetTextEmbedding`	`searchplat:GetTextEmbedding`	`workspaces/{workspaceName}`	テキスト埋め込みサービス。
`GetTextSparseEmbedding`	`searchplat:GetTextSparseEmbedding`	`workspaces/{workspaceName}`	テキストスパース埋め込みサービス。
`CreateDocumentAnalyzeTask`	`searchplat:CreateDocumentAnalyzeTask`	`workspaces/{workspaceName}`	非同期ドキュメント分析リクエストを作成します。
`DescribeDocumentAnalyzeTask`	`searchplat:DescribeDocumentAnalyzeTask`	`workspaces/{workspaceName}`	非同期ドキュメント分析リクエストの結果を取得します。
`GetDocumentAnalysis`	`searchplat:GetDocumentAnalysis`	`workspaces/{workspaceName}`	同期ドキュメント分析リクエストの結果を取得します。
`CreateImageAnalyzeTask`	`searchplat:CreateImageAnalyzeTask`	`workspaces/{workspaceName}`	非同期イメージ分析リクエストを作成します。
`DescribeImageAnalyzeTask`	`searchplat:DescribeImageAnalyzeTask`	`workspaces/{workspaceName}`	非同期イメージ分析リクエストの結果を取得します。
`GetImageAnalysis`	`searchplat:GetImageAnalysis`	`workspaces/{workspaceName}`	同期イメージ分析リクエストの結果を取得します。
`GetDocumentSplit`	`searchplat:GetDocumentSplit`	`workspaces/{workspaceName}`	ドキュメントチャンキングサービス。
`GetDocumentRank`	`searchplat:GetDocumentRank`	`workspaces/{workspaceName}`	リランキングサービス。
`GetTextGeneration`	`searchplat:GetTextGeneration`	`workspaces/{workspaceName}`	コンテンツ生成 (LLM) サービス。
`GetQueryAnalysis`	`searchplat:GetQueryAnalysis`	`workspaces/{workspaceName}`	クエリ分析サービス。
`GetEmbeddingTuning`	`searchplat:GetEmbeddingTuning`	`workspaces/{workspaceName}`	埋め込みファインチューニングサービス。
`GetWebSearch`	`searchplat:SearchWeb`	`workspaces/{workspaceName}`	Web 検索サービス。
`GetMultiModalEmbedding`	`searchplat:GetMultiModalEmbedding`	`workspaces/{workspaceName}`	マルチモーダル埋め込みサービス。
`CreateVideoSnapshotTask`	`searchplat:CreateVideoSnapshotTask`	`workspaces/{workspaceName}`	非同期ビデオフレーム抽出タスクを作成します。
`GetVideoSnapshotTaskStatus`	`searchplat:DescribeVideoSnapshotTask`	`workspaces/{workspaceName}`	ビデオフレーム抽出タスクのステータスを取得します。
`CreateAudioAsrTask`	`searchplat:CreateAudioAsrTask`	`workspaces/{workspaceName}`	非同期音声文字起こしタスクを作成します。
`GetAudioAsrTaskStatus`	`searchplat:DescribeAudioAsrTask`	`workspaces/{workspaceName}`	非同期音声文字起こしタスクのステータスを取得します。
`GetImageObjectDetection`	`searchplat:GetImageObjectDetection`	`workspaces/{workspaceName}`	イメージオブジェクト検出サービス。
`GetMultiModalReranker`	`searchplat:GetMultiModalReranker`	`workspaces/{workspaceName}`	マルチモーダルリランキングサービス。
`CreateVideoSummarizationTask`	`searchplat:CreateVideoSummarizationTask`	`workspaces/{workspaceName}`	非同期ビデオ要約タスクを作成します。
`GetVideoSummarizationTaskStatus`	`searchplat:DescribeVideoSummarizationTask`	`workspaces/{workspaceName}`	ビデオ要約タスクのステータスを取得します。
`CreateVideoSegmentationTask`	`searchplat:CreateVideoSegmentationTask`	`workspaces/{workspaceName}`	非同期ビデオセグメンテーションタスクを作成します。
`GetVideoSegmentationTaskStatus`	`searchplat:DescribeVideoSegmentationTask`	`workspaces/{workspaceName}`	ビデオセグメンテーションタスクのステータスを取得します。

操作手順

ステップ 1： RAM ユーザーの作成

RAM ユーザーは、固定 ID と認証情報を持つ物理的な ID です。RAM ユーザーは、個人またはアプリケーションを表します。RAM ユーザーには次の特徴があります：

RAM ユーザーは Alibaba Cloud アカウントによって作成できます。この場合、RAM ユーザーは Alibaba Cloud アカウントに属します。RAM ユーザーは、管理者権限を持つ RAM ユーザーまたは RAM ロールによっても作成できます。この場合、RAM ユーザーは、その RAM ユーザーまたは RAM ロールを作成した Alibaba Cloud アカウントに属します。
RAM ユーザーはリソースを所有しません。RAM ユーザーのリソース使用料は、その RAM ユーザーが属する Alibaba Cloud アカウントに請求されます。RAM ユーザーは個別の請求書を受け取らず、支払いもできません。
RAM ユーザーが Alibaba Cloud 管理コンソールにログインしたり、操作を呼び出したりする前に、Alibaba Cloud アカウントによる権限付与が必要です。権限が付与された後、RAM ユーザーは Alibaba Cloud アカウントが所有するリソースにアクセスできます。
RAM ユーザーは、ログイン用に独立したパスワードまたは AccessKey ペアを持っています。
1 つの Alibaba Cloud アカウントで複数の RAM ユーザーを作成できます。RAM ユーザーは、企業内の従業員、システム、アプリケーションを表すために使用できます。

詳細については、「RAM ユーザーの作成」をご参照ください。

ステップ 2：カスタム権限ポリシーの作成

「最小権限の例」を参照し、権限リストから必要な権限を選択して、カスタムポリシーに組み合わせます。詳細については、「カスタムポリシーの作成」をご参照ください。

ステップ 3： RAM ユーザーへの権限付与

システムポリシーまたはカスタムポリシーを RAM ユーザーに割り当てます。ユーザーのタスクに必要な権限のみを付与してください。詳細については、「RAM ユーザーへの権限付与」をご参照ください。

説明

権限の変更は約 5 分で有効になります。

最小権限の例

例 1： RAM ユーザーがワークスペースを一覧表示し、無料クォータの残量を確認し、default ワークスペースでドキュメントチャンキングサービスを呼び出すことを許可します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "searchplat:ListWorkspaces",
            "Resource": "acs:searchplat:*:*:workspaces/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "searchplat:DescribeWorkspace",
                "searchplat:GetDocumentSplit",
                "searchplat:DescribeMeasure"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/default"
        }
    ]
}

例 2： RAM ユーザーがワークスペースを一覧表示し、無料クォータの残量を確認し、API キーを管理し、default ワークスペースでドキュメントチャンキングサービスを呼び出すことを許可します。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "searchplat:ListWorkspaces"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/*"
        },
        {
            "Effect": "Allow",
           "Action": [
                "searchplat:DescribeWorkspace",
                "searchplat:WriteCredentials",
                "searchplat:GetDocumentSplit",
                "searchplat:DescribeCredentials",
                "searchplat:DescribeMeasure"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/default"
        }
    ]
}