ワークスペースの作成

PAI ワークスペースを作成および管理して、コンピューティングリソース、ユーザー権限、AI アセットを整理します。

制限事項

ワークスペースの構成変更は、管理者および所有者のみが実行できます。
イベント通知の音声通話、SMS、メール機能は、中国 (杭州)、中国 (上海)、中国 (ウランチャブ) の各リージョンでのみ利用可能です。

前提条件

Alibaba Cloud アカウント (root ユーザー): メインアカウントは、追加の権限付与なしですべての操作を実行できます。
RAM ユーザー (サブアカウント): RAM ユーザーには、AliyunPAIFullAccess 権限を付与する必要があります。AliyunPAIFullAccess は PAI への完全アクセス権限を付与します。付与には十分な注意が必要です。管理操作には、メインアカウントの使用を推奨します。

PAI ワークスペース一覧ページに移動し、Create Workspace をクリックして、以下のパラメーターを設定します:

基本情報を設定します。主なパラメーターは以下のとおりです:
- [メンバーの追加]: ワークスペースメンバーを追加し、役割を割り当てます。ワークスペース作成後にメンバーを追加することも可能です。詳細については、「メンバーおよび役割の構成」をご参照ください。
- [ワークスペースのデフォルトストレージ]: トレーニングなどのタスクから生成される一時データやモデルを保存するために、ワークスペースのデフォルトストレージを設定することを推奨します。
リソースの関連付けを設定します。主なパラメーターは以下のとおりです:
- [インテリジェントコンピューティング Lingjun リソース]: モデル開発およびトレーニング向けの高性能コンピューティングリソースグループです
- [汎用コンピューティングリソース]: AI 開発専用の汎用コンピューティングリソースです。詳細については、「リソースグループの作成および汎用コンピューティングリソースの購入」をご参照ください。
- [MaxCompute リソース]: Designer 内のアルゴリズム向けに MaxCompute から提供される CPU リソースです。詳細については、「MaxCompute リソースクォータ」をご参照ください。
- [フルマネージド Flink リソース]: 大規模分散モデルトレーニングに使用されます。詳細については、「フルマネージド Flink リソース管理」をご参照ください。
その他の情報については、「AI コンピューティングリソース」をご参照ください。
設定内容を確認し、ワークスペースに移動します。

ワークスペースに移動すると、左側のナビゲーションウィンドウに、AI 開発ワークフローの管理に必要なすべての PAI コンポーネントが表示されます。詳細については、「AI 開発」をご参照ください。

ワークスペースの管理

「ワークスペースの詳細」ページに移動します。対象のワークスペースに入ったら、右上隅にあるConfigure Workspaceをクリックします:

コンピューティングリソース

コンピューティングリソースの表示および関連付けを行います:

説明

現在、関連付け済みのコンピューティングリソースを解除することはできません。関連付けを解除する場合は、アカウントマネージャーにお問い合わせください。

[インテリジェントコンピューティング Lingjun リソース]: モデル開発およびトレーニング向けの高性能コンピューティングリソースグループです
[汎用コンピューティングリソース]: AI 開発専用の汎用コンピューティングリソースです。詳細については、「リソースグループの作成および汎用コンピューティングリソースの購入」をご参照ください。
[MaxCompute リソース]: Designer 内のアルゴリズム向けに MaxCompute から提供される CPU リソースです。詳細については、「MaxCompute リソースクォータ」をご参照ください。
[フルマネージド Flink リソース]: 大規模分散モデルトレーニングに使用されます。詳細については、「フルマネージド Flink リソース管理」をご参照ください。

その他の情報については、「AI コンピューティングリソース」をご参照ください。

メンバーおよび役割

複数のユーザー (RAM ユーザー) が同一のワークスペース内で管理、開発、O&M タスクを実行する必要がある場合、それらのユーザーをメンバーとして追加し、適切な役割を割り当てます。PAI では、さまざまな役割が提供されています。適切な役割を選択するには、「役割と権限の対応表」をご参照ください。

[メンバー／役割の追加]

単一の RAM ユーザーに複数の役割を割り当てることができます。サポートされる役割は以下のとおりです:

役割タイプ	説明
基本役割	基本役割: 管理者: ワークスペースのメンバー、リソースグループ、およびすべてのアセットを管理します。アルゴリズム開発者: 開発およびモデルトレーニングを実行します。アルゴリズム O&M エンジニア: タスクの優先順位、モデルデプロイ、オンラインサービス監視を管理します。ラベリング管理者: Intelligent Annotation における操作を実行します。ビジター: ワークスペース内の各種アセットに対して読み取り専用アクセス権を持ちます。
コンピューティングリソース役割	MaxCompute データ開発に対する権限を付与し、DataWorks の開発者役割に対応します。PAI から MaxCompute へジョブを送信する RAM ユーザーにこの役割を割り当てます。
カスタム役割	カスタム役割を追加するには: 権限レベル: 権限なし: 対象のプロダクトモジュールにおいて一切の権限を持ちません。読み取り専用: 対象のプロダクトモジュールにおいて、自身およびパブリックなリソースを閲覧できます。編集／実行: 対象のプロダクトモジュールにおいて、自身のリソースを編集および実行できます。完全アクセス: 対象のプロダクトモジュールにおけるすべてのリソースを管理できます。

[メンバー役割の変更]

メンバーおよび役割に関するルール:
- 各メンバーには、少なくとも 1 つの役割が必要です。
- Owner ロールは削除できません。ワークスペースを作成する Alibaba Cloud アカウントまたは RAM ユーザーには、自動的に Owner ロールが割り当てられます。このロールは、ワークスペース内のメンバー、リソースグループ、およびすべてのアセットを管理する権限を付与します。
- PAI ワークスペースと DataWorks ワークスペースはバックエンドで相互接続されています。管理者、ビジター、開発者役割は共有されます。PAI においてメンバーの最後の共有役割を削除すると、当該メンバーは対応する DataWorks ワークスペースからも削除されます。これにより、エンティティ転送がトリガーされる可能性があります。

リソーススケジューリング

PAI では、ワークスペースレベルのリソース管理およびスケジューリングが提供されます。管理者は、ビジネス要件およびユースケースに基づいてリソーススケジューリングを構成できます。詳細については、「リソーススケジューリングの構成」をご参照ください。

イベント通知

DLC ジョブ、パイプラインジョブ、DSW インスタンス のステータスを追跡・監視したり、モデルバージョン のステータス変更に基づいてダウンストリーム操作を自動的にトリガーしたりするために、イベント通知を構成します。詳細については、「イベント通知の構成」をご参照ください。

ストレージパス

ワークスペースのデフォルトストレージパスを構成します:

トレーニングなどのタスクから生成される一時データやモデルを保存するために、ワークスペースのデフォルトストレージを設定することを推奨します。
Designer でData Storageも設定されている場合、パイプラインの実行時にData Storageのパスがワークスペースストレージをオーバーライドします。

SLS 転送

現在のワークスペース内の DSW インスタンスおよび DLC ジョブのログを Log Service (SLS) に転送して、カスタム分析を実行します:

パラメーター	説明
Project	Log Service (SLS) におけるリソース分離および制御のためのリソース管理単位です。Project がない場合は、「Project の作成」をご参照ください。
LogStore	Log Service におけるログデータの収集、保存、クエリのための単位です。LogStore がない場合は、「LogStore の作成」をご参照ください。
SLS へのログ転送対象モジュール	DSW インスタンスおよび DLC ジョブのログ転送をサポートします。

一般設定

一般設定では、以下の機能の有効／無効を切り替えることができます。注: 変更を有効にするには、影響を受けるインスタンスを再起動する必要があります。

Public Resource Group:

Default Network Configuration: 管理者は、VPC やセキュリティグループなどのデフォルトネットワーク設定を指定できます。この集中管理された構成により、権限を効果的に制御できます。

DLC Configurations：

Go to Node Container: DLC ジョブのコンピュートノードコンテナへのアクセスを許可するかどうかを制御します。これは、デバッグやトラブルシューティングの目的で使用されます。有効化すると、許可されたユーザーは端末を使用してコンテナにアクセスできます。

[DSW 構成]:

SSH Logon to Instance from Internet: ユーザーがインターネット経由で DSW インスタンスに SSH ログインできるかどうかを制御します。
Open Instance from Internet: ユーザーがインターネットから DSW インスタンスにアクセスできるかどうかを制御します。
Rate Limit for Internet Access: 専用 NAT ゲートウェイを介してインターネットにアクセスする際の DSW インスタンスのネットワーク速度を制限します。これにより、単一のインスタンスによる帯域幅の過剰消費を防ぎ、共有リソースの安定性を確保します。

よくある質問

ワークスペース作成時に「名前が既に存在します」というエラーが表示される

このエラーが表示されるものの、PAI ワークスペース一覧に当該ワークスペースが表示されない場合、同名のワークスペースが DataWorks に存在している可能性があります。PAI と DataWorks のワークスペースはバックエンドで相互接続されています。両サービス間で重複しない一意の名前を使用することを推奨します。

SLS ログ転送の構成時にリストが空になる

エラーメッセージ: denied by sts or ram, action: log:ListProject, resource: acs:log.....

原因: ユーザーが SLS LogStore を読み取る権限を持っていません。

解決方法: Resource Access Management (RAM) コンソールで、ユーザーに必要な権限を付与します。

プリンシパルを RAM ユーザーまたは RAM ロールに設定し、AliyunLogFullAccess ポリシーを選択します。

より詳細な権限制御を行うには、Log Service コンソールに移動します。目的の Project で、権限アシスタントを使用してカスタム RAM ポリシーを生成します。

SLS ログ転送の構成時にリクエストが失敗する

エラーメッセージ: Modify configuration configuration failed [SLS] cannot init client for sis service: com.alibaba.pai.workspace.common.exception.ServiceExceptionV2: No Privilege error: {0}

原因: ユーザーが SLS LogStore のログ転送機能を有効化または無効化する権限を持っていません。

解決方法: Resource Access Management (RAM) コンソールで、ユーザーにログ転送の権限を付与します。以下に、サンプルのカスタムポリシーを示します:

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection",
                "log:CloseProductDataCollection",
                "log:OpenProductDataCollection"
            ],
            "Resource": "*"
        }
    ]
}

より詳細な管理を行うには、Resource セクションを編集して、対象のリソースを明示的に指定します。