初めて DLC を使用する場合、クラウドリソースにアクセスするために DLC サービスリンクロールを承認する必要があります。また、ストレージシステムとして OSS を使用する場合は、ビジネスニーズに応じて DLC サービスリンクロールに OSS へのアクセス権限を付与する必要もあります。このトピックでは、DLC を使用するために必要な承認操作について説明します。
背景情報
DLC を使用する前に、DLC の機能を使用し、OSS で操作を実行するために必要な権限を付与する必要があります。PAI ワークスペースでは、RAM ユーザーのモデルトレーニングタスクに対して、きめ細かな権限管理を適用できます。DLC は OSS や NAS などの依存クラウド製品にアクセスするため、PAI がそれらにアクセスすることを認可する必要もあります。詳細な手順については、次のセクションをご参照ください。
-
DLC の製品の依存関係と必要な権限について説明します。
-
Alibaba Cloud アカウントに、DLC の使用および OSS または NAS へのアクセスに関する一般的な権限を付与します。
操作アカウントの認可
DLCは、モデルトレーニングジョブを作成および提出するためのプラットフォームを提供します。 DLCを使用してトレーニングジョブを作成および送信する場合、次のクラウドサービスをアクティブ化および承認する必要がある場合があります。
PAIモジュール: DLC
操作アカウント
サービス
参照
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用して、DLCの操作を実行できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
(推奨)
PAIは異なるメンバーの役割を提供します。 RAMユーザーに対して異なるメンバーロールを引き受けることができ、アクセス許可の管理が便利です。 各ロールの権限の詳細については、「ロールと権限」をご参照ください。
-
依存クラウド製品:NAS
DLC はデータストレージに NAS を使用するため、NAS を有効化し、適切な権限を付与する必要があります。
シナリオ
説明
参照
NASの有効化
Alibaba Cloudアカウントを使用してNASをアクティブ化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してNASをアクティブ化する場合は、RAMユーザーに
AliyunNASFullAccess権限を付与する必要があります。権限付与: RAMポリシーに基づくアクセス制御の実行
一般的な操作: ファイルシステムの作成
NASの使用
アクティベーション後にNASを使用する:
権限付与: NASは詳細なRAM制御ポリシーを提供します。 必要に応じて、RAMユーザーに権限を付与できます。
一般的な操作: NASファイルシステムを作成し、それをPAIのインスタンスにマウントする必要があります。
依存クラウドサービス: OSS
データストレージ用にOSSを有効化して権限付与する必要があります。
シナリオ
説明
参照
OSS の有効化
Alibaba Cloudアカウントを使用してContainer Registryを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してOSSをアクティブ化する場合は、RAMユーザーに
AliyunOSSFullAccess権限を付与する必要があります。有効化: OSSの有効化
権限付与: RAMポリシーの概要
一般的な操作: バケットの作成
OSS の用途
アクティベーション後にOSSを使用する:
権限付与: OSSは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: オブジェクトをOSSにアップロードするには、バケットを作成する必要があります。
PAI サービスアカウントの認可
DLC の一般権限の付与
DLC が正しく機能するように、お使いの Alibaba Cloud アカウントに必要な DLC 権限が付与されていることを確認してください。 通常、これらの権限は、PAI をアクティブ化してデフォルトワークスペースを作成する際に付与されます。 リファレンス: AliyunPAIDLCDefaultRole の関連付けを確認するの手順に従って、お使いのアカウントにこれらの権限が付与されていることを確認できます。
-
PAI コンソールにログインします。ページ上部で対象リージョンを選択します。ページの右側で対象のワークスペースを選択し、Go to DLC をクリックします。
-
AliyunPAIDLCDefaultRoleを認可します。-
Authorize をクリックします。「You are not authorized to access the DLC console」と表示された次のページで、[Go to Authorize] をクリックします。
-
クラウドリソースアクセス権限付与 ページで、権限を付与 をクリックします。成功メッセージが表示されます。
-
-
AliyunPAIDLCDefaultRole にAliyunOSSFullAccess ポリシーを追加します。
上記の認可を完了すると、お使いのアカウントには DLC のデフォルトロール権限が付与されます。DLC が正しく機能するためには、OSS の操作権限も追加する必要があります。手順は以下のとおりです。
-
RAM コンソールで、 ページに移動し、AliyunPAIDLCDefaultRole を見つけます。
-
AliyunPAIDLCDefaultRole の行で、Actions 列の 権限の付与 をクリックします。
-
権限の付与 パネルで、パラメーターを設定します。
パラメーター
説明
[Authorization Scope]
[Alibaba Cloud Account] を選択します。サポートされている 2 つのスコープの違いは次のとおりです。
-
[Alibaba Cloud Account]:権限は現在の Alibaba Cloud アカウント内で有効になります。
-
[Specific Resource Group]:権限は指定されたリソースグループ内で有効になります。
[権限付与の対象]
これは認可対象の RAM ロールです。システムが現在の RAM ロールを自動的に入力するため、変更する必要はありません。
[Permission Policy]
検索ボックスにOSS と入力します。検索結果から適切なポリシーを選択して付与します。選択したポリシーは、右側のSelected リストに表示されます。
説明この例では AliyunOSSFullAccess を使用していますが、ポリシーを選択する際は、常に最小権限の原則に従ってください。
-
-
[OK] をクリックします。
-
-
DLC が正常に機能するように、
AliyunPAIDLCDefaultRoleに PaiDlcOAuthPolicy ポリシーを追加します。次の手順に従ってください。-
RAM コンソールで、 ページに移動し、Create Policy をクリックして、PaiDlcOAuthPolicy という名前のカスタムポリシーを作成します。主要なパラメーターを以下のように設定します。詳細な手順については、「スクリプトエディターを使用したカスタムポリシーの作成」をご参照ください。
パラメーター
説明
[ポリシードキュメント]
[JSON] タブで、次のポリシー内容を入力します。
{ "Version": "1", "Statement": [ { "Action": [ "ram:GetDefaultDomain", "ram:ListApplications", "ram:CreateApplication", "ram:ListAppSecretIds", "ram:GetAppSecret", "ram:CreateAppSecret", "ram:DeleteApplication", "ram:DeleteAppSecret" ], "Resource": [ "*" ], "Effect": "Allow" } ] }[Name]
名前を PaiDlcOAuthPolicy に設定します。
-
ページで、AliyunPAIDLCDefaultRole の行の Actions 列にある 権限の付与 をクリックします。
-
権限の付与 パネルで、次のように PaiDlcOAuthPolicy ポリシーを追加します。
[Authorization Scope] を [Alibaba Cloud Account] に設定します。ポリシー検索ボックスに
DlcOと入力し、検索結果から PaiDlcOAuthPolicy カスタムポリシーを選択して、[OK] をクリックします。
-
-
認可を検証します。
これらの手順を完了した後、AliyunPAIDLCDefaultRole をクリックして、アタッチされているポリシーを表示します。認可が成功すると、ロールの [Permissions] タブには、AliyunPAIDLCDefaultRolePolicy (PAI DLC サービスロールのシステムポリシー)、PaiDlcOAuthPolicy (PAI DLC が RAM コンソールのアプリケーションおよびドメインリソースにアクセスできるようにするカスタムポリシー)、および AliyunOSSFullAccess (OSS 権限を管理するためのシステムポリシー) の 3 つのポリシーが含まれています。
PAI による OSS および NAS へのアクセス認可
PAI は、OSS や NAS などの関連クラウド製品へのアクセスを許可するためのワンクリック認可機能を提供しています。手順は以下のとおりです。
-
PAI コンソールにログインします。
-
左側メニューで、 をクリックします。DLC セクションの下で、OSS と NAS を見つけます。
-
Actions 列で、OSS の認可ステータスを確認します。
-
承認されていない場合は、Actions 列の Authorize Now をクリックし、画面の指示に従ってください。
-
承認済みの場合は、Actions 列の View Authorization をクリックします。
-
AliyunPAIDLCDefaultRole 関連付けの確認
DLC が正常に機能するようにするには、お使いの Alibaba Cloud アカウントに AliyunPAIDLCDefaultRole サービスリンクロールがあることを確認する必要があります。手順は次のとおりです。
権限を付与できるのはメインアカウントのみで、RAM ユーザーは権限を付与できません。
RAM コンソールにログインします。
左側のナビゲーションウィンドウで、[ID] > [ロール] の順に選択します。
-
Role ページで、検索ボックスにAliyunPAIDLCDefaultRole と入力します。
-
このロールが見つかった場合、DLC サービスリンクロールがすでに付与されていることを意味します。
-
このロールが見つからない場合は、必要な権限を付与する必要があります。手順については、「DLC の一般権限の付与」をご参照ください。
-
関連ドキュメント
認可が完了したら、DLC モデルトレーニングジョブを作成できます。手順については、「トレーニングジョブの作成」をご参照ください。