企業内の複数のユーザーが一緒にサービスにアクセスする必要がある場合は、複数の RAM ユーザーを作成し、必要な権限のみを割り当てることができます。 これにより、Alibaba Cloud アカウントの認証情報の共有を回避し、リスクを軽減できます。
シナリオ
以下のシナリオでは、RAM ユーザーを作成し、ビジネス運用に必要な最小限の権限を付与する必要があります。
RAM ユーザーが AI Search Open Platform サービスを API/SDK 経由で呼び出す場合は、AccessKey を身分認証に使用します。
RAM ユーザーが AI Search Open Platform コンソールを使用する場合の一般的なシナリオは次のとおりです。
ワークスペースを作成し、AI Search Open Platform をアクティブ化する権限を付与します。
API キーを管理する権限を付与します。
重要AI Search Open Platform では、API キーは独立したワークスペースに存在します。 RAM ユーザーが特定のワークスペースの API キーを取得し (API キーが有効になっている)、コードで API キーを使用する場合、ユーザーは個別の承認なしで API/SDK を使用してワークスペース下のすべてのサービスを呼び出すことができます。
エクスペリエンスセンターでドキュメントの解析やチャンク化などのサービスを体験する権限を付与します。
RAG チェーンで評価を実行する権限を付与します。
権限ポリシー
システムポリシー
システムポリシーは Alibaba Cloud によって統一的に作成されます。 ユーザーはそれらを使用することのみが可能で、変更することはできません。 ポリシーのバージョン更新は Alibaba Cloud によって維持されます。 AI Search Open Platform は、以下のシステムポリシーを提供します。
AliyunOpenSearchFullAccess: OpenSearch を管理する権限。 この権限ポリシーには、権限ポイントリストのすべての権限が含まれています。 この権限ポリシーの付与は慎重に行ってください。
AliyunOpenSearchReadOnlyAccess: OpenSearch への読み取り専用アクセスを許可します。 このポリシーには、読み取り操作のコントロール API 権限 (List、Describe) すべてと、権限ポイントリストに詳述されているトラフィック API 権限リスト内のすべての権限が含まれています。
カスタムポリシー
カスタム権限ポリシーを作成して、きめ細かい権限管理を実現します。
権限ポイントリスト
コントロール API 権限
カテゴリ | API | RAM アクション | リソース | 説明 |
ワークスペース | CreateWorkspace | searchplat:WriteWorkspace | workspaces/* | ワークスペースを作成し、AI Search Open Platform をアクティブ化します。 説明 AI Search Open Platform は無料でアクティブ化できます。 使用しない場合は課金されません。 |
UpdateWorkspace | searchplat:WriteWorkspace | workspaces/{workspaceName} | ワークスペースを更新する | |
GetWorkspace | searchplat:DescribeWorkspace | workspaces/{workspaceName} | ワークスペースの詳細を取得する | |
ListWorkspaces | searchplat:ListWorkspaces | workspaces/* | ワークスペースリストを取得する | |
ListServices | searchplat:ListServices | workspaces/{workspaceName} | サービスリストを取得する | |
アクセス認証情報 | CreateCredentials | searchplat:WriteCredentials | workspaces/{workspaceName} | アクセス認証情報を作成する |
DeleteCredentials | searchplat:WriteCredentials | workspaces/{workspaceName} | アクセス認証情報を削除する | |
UpdateCredentials | searchplat:WriteCredentials | workspaces/{workspaceName} | アクセス認証情報を更新する | |
GetCredentials | searchplat:DescribeCredentials | workspaces/{workspaceName} | アクセス認証情報の詳細を取得する | |
ListCredentials | searchplat:DescribeCredentials | workspaces/{workspaceName} | アクセス認証情報リストを取得する | |
残りの無料クォータの計算 | GetMeasure | searchplat:DescribeMeasure | workspaces/{workspaceName} | ワークスペースの残りの無料サービスクォータを取得します。 説明
|
体験データ | CreateExperienceData | searchplat:WriteExperienceData | workspaces/{workspaceName} | 体験データを追加する |
DeleteExperienceData | searchplat:WriteExperienceData | workspaces/{workspaceName} | 体験データを削除する | |
GetExperienceData | searchplat:DescribeExperienceData | workspaces/{workspaceName} | 体験データの詳細を取得する | |
ListExperienceData | searchplat:DescribeExperienceData | workspaces/{workspaceName} | 体験データリストを取得する | |
非同期タスク | CreateAsyncTask | searchplat:WriteAsyncTask | workspaces/{workspaceName} | 体験データ解析非同期タスクを作成する |
GetAsyncTask | searchplat:DescribeAsyncTask | workspaces/{workspaceName} | 体験データ解析非同期タスクの詳細を表示する | |
ListAsyncTasks | searchplat:DescribeAsyncTask | workspaces/{workspaceName} | 体験データ解析非同期タスクリストを表示する | |
評価 | CreateRagEvaluatorTask | searchplat:WriteEvaluation | workspaces/{workspaceName} | 評価タスクを作成する |
GetRagEvaluatorTask | searchplat:DescribeEvaluation | workspaces/{workspaceName} | 評価タスクの詳細を取得する | |
ListRagEvaluatorTasks | searchplat:DescribeEvaluation | workspaces/{workspaceName} | 評価タスクリストを取得する | |
DeleteRagEvaluatorTask | searchplat:WriteEvaluation | workspaces/{workspaceName} | 評価タスクを削除する | |
モデルサービス | CreateFunctionInstance | searchplat:WriteFunction | workspaces/{workspaceName} | サービス/モデルを作成する |
CreateFunctionTask | workspaces/{workspaceName} | サービス構成をすぐにアクティブ化する | ||
UpdateFunctionInstance | workspaces/{workspaceName} | サービス/モデル構成を変更する | ||
DeleteFunctionInstance | workspaces/{workspaceName} | サービス/モデル構成を削除する | ||
ListFunctionInstances | searchplat:DescribeFunction | workspaces/{workspaceName} | サービス/モデル構成の詳細リストを取得する | |
GetFunctionInstance | workspaces/{workspaceName} | サービス/モデル構成の詳細を取得する | ||
GetTableFields | searchplat:GetTableFields | workspaces/{workspaceName} | MaxCompute テーブルスキーマを取得する | |
モデルサービス - サービスデプロイ | ListFunctionRestrictions | searchplat:ListFunctionRestrictions | workspaces/{workspaceName} | デプロイ可能なリージョン、モデルカテゴリ、モデルタイプ、モデルなどの機能制限項目を取得します。 |
トラフィック API 権限
API | アクション | リソース | 説明 |
GetTextEmbedding | searchplat:GetTextEmbedding | workspaces/{workspaceName} | テキスト埋め込みサービス |
GetTextSparseEmbedding | searchplat:GetTextSparseEmbedding | workspaces/{workspaceName} | スパーステキスト埋め込みサービス |
CreateDocumentAnalyzeTask | searchplat:CreateDocumentAnalyzeTask | workspaces/{workspaceName} | 非同期ドキュメント解析サービスリクエストを作成する |
DescribeDocumentAnalyzeTask | searchplat:DescribeDocumentAnalyzeTask | workspaces/{workspaceName} | 非同期ドキュメント解析結果サービスを取得する |
GetDocumentAnalysis | searchplat:GetDocumentAnalysis | workspaces/{workspaceName} | 同期ドキュメント解析結果サービスを取得する |
CreateImageAnalyzeTask | searchplat:CreateImageAnalyzeTask | workspaces/{workspaceName} | 非同期イメージ解析サービスリクエストを作成する |
DescribeImageAnalyzeTask | searchplat:DescribeImageAnalyzeTask | workspaces/{workspaceName} | 非同期イメージ解析結果サービスを取得する |
GetImageAnalysis | searchplat:GetImageAnalysis | workspaces/{workspaceName} | 同期イメージ解析結果サービスを取得する |
GetDocumentSplit | searchplat:GetDocumentSplit | workspaces/{workspaceName} | ドキュメントチャンク化サービス |
GetDocumentRank | searchplat:GetDocumentRank | workspaces/{workspaceName} | 再ランキングサービス |
GetTextGeneration | searchplat:GetTextGeneration | workspaces/{workspaceName} | コンテンツ生成 LLM サービス |
GetQueryAnalysis | searchplat:GetQueryAnalysis | workspaces/{workspaceName} | クエリ分析サービス |
GetEmbeddingTuning | searchplat:GetEmbeddingTuning | workspaces/{workspaceName} | ベクトル微調整サービス |
GetWebSearch | searchplat:SearchWeb | workspaces/{workspaceName} | インターネット検索 |
GetMultiModalEmbedding | searchplat:GetMultiModalEmbedding | workspaces/{workspaceName} | マルチモーダル埋め込みサービス |
手順
ステップ 1: RAM ユーザーを作成する
RAM ユーザーは、固定の ID と認証情報を持つ物理的な ID です。 RAM ユーザーは、個人またはアプリケーションを表します。 RAM ユーザーには、次の特徴があります。
RAM ユーザーは、Alibaba Cloud アカウントによって作成できます。 この場合、RAM ユーザーは Alibaba Cloud アカウントに属します。 RAM ユーザーは、管理権限を持つ RAM ユーザーまたは RAM ロールによっても作成できます。 この場合、RAM ユーザーは、RAM ユーザーまたは RAM ロールを作成した Alibaba Cloud アカウントに属します。
RAM ユーザーはリソースを所有していません。 RAM ユーザーのリソース使用料金は、RAM ユーザーが属する Alibaba Cloud アカウントに請求されます。 RAM ユーザーは個別の請求書を受け取らず、支払いを行うこともできません。
RAM ユーザーが Alibaba Cloud 管理コンソールにログインしたり、操作を呼び出したりするには、Alibaba Cloud アカウントによって承認される必要があります。 RAM ユーザーが承認されると、RAM ユーザーは Alibaba Cloud アカウントが所有するリソースにアクセスできます。
RAM ユーザーは、ログイン用の独立したパスワードまたは AccessKey ペアを持っています。
1 つの Alibaba Cloud アカウントで複数の RAM ユーザーを作成できます。 RAM ユーザーは、企業内の従業員、システム、アプリケーションを表すために使用できます。
詳細については、「RAM ユーザーの作成」をご参照ください。
ステップ 2: カスタム権限ポリシーを作成する
一般的な最小権限の組み合わせ例を参照し、権限ポイントリストから権限ポイントを選択して、最小権限ポリシーに組み合わせます。 カスタム権限付与ポリシーの作成の詳細については、「カスタム権限ポリシーの作成」をご参照ください。
ステップ 3: RAM ユーザーを承認する
RAM ユーザーにシステムポリシーまたはカスタムポリシーを付与すると、ユーザーはポリシー内の対応する権限でリソースにアクセスできます。 最小権限の原則に基づいて、必要な権限のみを RAM ユーザーに付与することをお勧めします。 権限付与の詳細については、「RAM ユーザーの承認」をご参照ください。
RAM ユーザーの権限構成を設定または更新した後、5 分の遅延の後で有効になります。
一般的な最小権限の組み合わせ例
例 1: RAM ユーザーがワークスペースリストの表示、残りの無料サービスクォータの表示、デフォルトワークスペースでのドキュメントチャンク化サービスの呼び出しを許可します。 対応する権限付与ポリシーは次のとおりです。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "searchplat:ListWorkspaces",
"Resource": "acs:searchplat:*:*:workspaces/*"
},
{
"Effect": "Allow",
"Action": [
"searchplat:DescribeWorkspace",
"searchplat:GetDocumentSplit",
"searchplat:DescribeMeasure"
],
"Resource": "acs:searchplat:*:*:workspaces/default"
}
]
}例 2: RAM ユーザーがワークスペースリストの表示、残りの無料サービスクォータの表示、デフォルトスペースでの API キーの管理、ドキュメントチャンク化サービスの呼び出しを許可します。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"searchplat:ListWorkspaces"
],
"Resource": "acs:searchplat:*:*:workspaces/*"
},
{
"Effect": "Allow",
"Action": [
"searchplat:DescribeWorkspace",
"searchplat:WriteCredentials",
"searchplat:GetDocumentSplit",
"searchplat:DescribeCredentials",
"searchplat:DescribeMeasure"
],
"Resource": "acs:searchplat:*:*:workspaces/default"
}
]
}