Platform for AI (PAI) では、RAM ユーザー権限付与(サービスのアクティベートと使用)とサービス権限付与(PAI が他の Alibaba Cloud サービスにアクセスする)の 2 つの側面の権限付与が必要です。
RAM ユーザーの権限付与
Alibaba Cloud アカウントに追加の権限付与は必要ありません。RAM ユーザーは、コンソールにログインしたり、API を使用して Alibaba Cloud アカウントのリソースにアクセスしたりする前に、権限を付与する必要があります。このセクションでは、次の方法で PAI 使用シナリオで RAM ユーザーに権限を付与する方法について説明します。
RAM ユーザーに システムポリシーを追加する:コンソールを介して PAI およびその依存サービスにアクセスするための権限をすばやく取得します。
RAM ユーザーにカスタムポリシーを追加する。
RAM ユーザーに PAI のアクティベートと PAI リソースの購入を承認する
PAI をアクティベートして PAI リソースを購入するには、AliyunPAIFullAccess ポリシーを RAM ユーザーに追加する必要があります。
AliyunPAIFullAccess ポリシーは広範な権限を付与します。これらの操作には、代わりに Alibaba Cloud アカウントを使用することをお勧めします。
RAM ユーザーに PAI サブサービスの使用を承認する
PAI は、ワークスペースを介して権限を管理する機能を提供します。RAM ユーザーをワークスペースメンバーとして追加し、異なる RAM アカウントに [リソース管理者(Alibaba Cloud アカウント/RAM 権限付与経由)]、[ワークスペース管理者/所有者]、[アルゴリズム開発者]、[アルゴリズム O&M エンジニア]、[ラベリング管理者]、[訪問者] メンバーロールの権限を付与できます。ロールの権限については、付録:ロールと権限リストを参照してください。
iTAG については、詳細な権限設定については、iTAG 担当者の割り当てを参照してください。
EAS は、RAM ユーザーに権限を付与するためのシステムポリシーを提供します。例えば:
EAS 管理権限:
AliyunPAIEASFullAccess。EAS 読み取り専用権限:
AliyunPAIEASReadOnlyAccess。
ほとんどの AI アクセラレーション機能は、対応するモデル開発、トレーニング、および推論サブサービスの操作権限のみを必要とし、追加の権限付与は必要ありません。データセットアクセラレーションのみを使用する場合、RAM アカウントには
AliyunPAIFullAccessおよびAliyunDatasetAccFullAccess権限が必要です。
RAM ユーザーに他のクラウドサービスのアクティベート/使用を承認する
次の表に、PAI が依存する他のサービスを示します。
Alibaba Cloud アカウントを使用して他のクラウドサービスをアクティベートし(追加の権限付与は不要)、RAM ポリシーを介して RAM アカウントによる他のクラウドサービスへのアクセスを制御することをお勧めします(以下の表のRAM アカウントの使用権限を参照)。
RAM ユーザーがワークスペースメンバーとして追加されている場合、割り当てられたロールに基づいて他のクラウドサービスに対する部分的な権限が付与されます。他のクラウドサービスのアクティベートまたは使用時に権限の問題が発生した場合は、次の表を参照して権限付与操作を行ってください。
例:RAM ユーザーを使用して OSS をアクティベートするには、システムポリシー AliyunOSSFullAccess を RAM ユーザーに追加する必要があります。OSS の使用時に権限の問題が発生した場合は、RAM 権限付与について OSS RAM ポリシーを参照できます。
依存クラウドサービス | アクティベーションに必要なポリシー | RAM アカウントの使用権限 | 操作ガイド |
OSS | AliyunOSSFullAccess |
| |
MaxCompute | AliyunBSSOrderAccess、AliyunDataWorksFullAccess | ワークスペースの RAM アカウントにMaxCompute 開発者ロールを追加します。詳細については、ワークスペースの作成と管理を参照してください。 | |
Flink | AliyunStreamFullAccess | アクティベーション:リアルタイムコンピューティング Flink バージョンのアクティベート | |
NAS | AliyunNASFullAccess |
| |
API Gateway | AliyunApiGatewayFullAccess | ||
SLS | AliyunLogFullAccess |
| |
VPC | AliyunVPCFullAccess |
| |
Cloud Monitor | AliyunCloudMonitorFullAccess | ||
OpenTelemetry | AliyunARMSFullAccess | アクティベーション:クイックスタート | |
ACR | AliyunContainerRegistryFullAccess |
PAI が他のクラウドサービスにアクセスすることを承認する
権限付与は通常、PAI がアクティベートされるときに完了します。アクティベーション中に権限付与操作が見落とされた場合は、後続の操作インターフェイスで必要に応じて権限付与するように求められます。また、次の手順を参照して、権限付与ステータスを確認することもできます。Designer が OSS にアクセスする例を次に示します。
PAI コンソールにログインします。
左側のナビゲーションウィンドウで、をクリックし、Designer 機能モジュールの下の [OSS] を見つけます。
[アクション] 列で OSS の権限付与ステータスを確認します。
まだ権限が付与されていない場合は、[アクション] 列の [権限付与] をクリックし、指示に従って権限付与を完了します。
権限付与が完了している場合は、[アクション] 列の [権限付与情報を表示] をクリックして詳細を表示します。
PAI サブサービスは、通常のサービスロールとサービスリンクロールの 2 つの方法で他のクラウドサービスにアクセスします。現在の「依存サービス」ページはすべての状況を網羅しているわけではありません。必要に応じて、各サブサービスの紹介も参照できます。
ワークスペース:付録:PAI ワークスペースサービスリンクロール
LangStudio:PAI サービスアカウントの権限付与
DatasetAccelerator: データセットアクセラレータ管理権限を RAM ユーザーに付与する
付録
RAM ユーザーにポリシーを追加する(AliyunPAIFullAccess など)
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、[アクション] 列の [権限の追加] をクリックします。
複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、一度に RAM ユーザーに権限を付与することもできます。
[権限の付与] パネルで、RAM ユーザーの権限を追加します。以下を指定します。
[リソーススコープ]:[アカウント] を選択します。
[ポリシー]:[システムポリシー] タブと AliyunPAIFullAccess ポリシーを選択します。
重要このシステムポリシーを持つ RAM ユーザーは、あらゆる種類のリソースを購入、作成、および削除でき、すべてのワークスペースで管理者権限を持ちます。注意して進めてください。
カスタムポリシーを作成する を参照して、RAM ユーザーに最小限の利用可能なポリシーを設定できます。
[権限の付与] をクリックします。
[閉じる] をクリックします。
カスタムポリシーを作成する
RAM 管理者として RAM コンソールにログインします。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシーの作成] をクリックし、[JSON] タブを選択して、次のポリシーを設定します(RAM ユーザーにアカウント内のすべての EAS モデルサービスのリストを表示する権限を付与します)。
重要ポリシードキュメントを指定する場合は、最小権限の原則に従うことをお勧めします。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "eas:ListServices" // eas:ListServices アクションを許可します ], "Resource": "*" // すべてのリソース } ] }
詳細については、「スクリプトエディターモードでカスタムポリシーを作成する」をご参照ください。