PAI の LangStudio に権限を付与する - Platform For AI - Alibaba Cloud ドキュメントセンター

Platform for AI (PAI) の LangStudio を初めて使用する場合、LangStudio が必要なリソースにアクセスし、依存するクラウドサービスをアクティブ化できるように、LangStudio にサービスロールを割り当てる必要があります。このトピックでは、LangStudio が依存するクラウドサービスと、それを使用するために必要な権限について説明します。

はじめに

操作アカウントを使用して LangStudio を管理する場合は、LangStudio を使用する前に操作アカウントに権限を付与する必要があります。異なる RAM ユーザーに異なる権限を付与したい場合、PAI では、ワークスペースを使用して LangStudio を管理するために、RAM ユーザーに詳細な権限を付与できます。LangStudio は、バックエンドでファイルを保存するために Object Storage Service (OSS) を、アプリケーションフローを開発およびデバッグするために Simple Log Service と Managed Service for OpenTelemetry を、アプリケーションフローをデプロイするために PAI の Elastic Algorithm Service (EAS) を使用します。この場合、LangStudio がこれらのクラウドサービスにアクセスするための権限を Alibaba Cloud アカウントに付与する必要があります。詳細については、次のセクションをご参照ください。

操作アカウントに権限を付与する
LangStudio は、ワンストップの大規模言語モデル (LLM) アプリケーション開発機能を提供します。これは、OSS、Simple Log Service、Managed Service for OpenTelemetry、PAI の EAS などの Alibaba Cloud サービスによって異なります。LangStudio がこれらのクラウドサービスにアクセスするための権限を付与していることを確認してください。
PAI の Alibaba Cloud アカウントに権限を付与する
次のセクションでは、Alibaba Cloud アカウントに LangStudio を使用するための権限を付与する方法について説明します。

操作アカウントに権限を付与する

LangStudio は、次のクラウドサービスに依存しています。LangStudio がこれらのクラウドサービスにアクセスするための権限を操作アカウントに付与していることを確認してください。

PAI モジュール: LangStudio

操作アカウント

シナリオ

操作ガイドリンク

Alibaba Cloud アカウント

Alibaba Cloud アカウントを使用して、LangStudio で操作を実行できます。追加の権限付与は必要ありません。

該当なし

RAM ユーザー

(推奨)

PAI はさまざまなメンバーロールを提供します。権限管理を容易にするために、RAM ユーザーにさまざまなメンバーロールを偽装させることができます。各ロールの権限の詳細については、「ロールと権限のリスト - LangStudio」をご参照ください。

ワークスペースメンバーの管理

OSS: LLM アプリケーションフローを開発する際に使用するコードと構成ファイル、開発とデバッグ中に生成されるログ、およびサービスをデプロイする際に生成されるスナップショットファイルを保存します。

シナリオ

説明

操作ガイドリンク

OSS をアクティブ化する

Alibaba Cloud アカウントを使用して OSS をアクティブ化することをお勧めします。追加の権限付与は必要ありません。RAM ユーザーを使用して OSS をアクティブ化する場合は、RAM ユーザーに AliyunOSSFullAccess ポリシーをアタッチします。

OSS のアクティブ化: コンソールのクイックスタート
RAM ユーザーへの権限付与: RAM ポリシー
一般的な操作: コンソールのクイックスタート

OSS を使用する

OSS を使用する場合は、次のとおりです。

権限付与: OSS は詳細な RAM アクセスの制御ポリシーを提供します。必要に応じて RAM ユーザーに権限を付できます。
一般的な操作: オブジェクトを OSS にアップロードするには、バケットを作成する必要があります。

Managed Service for OpenTelemetry: LLM アプリケーションフローの開発とデプロイ時にトレース分析を提供します。

シナリオ

説明

操作ガイド

Managed Service for OpenTelemetry をアクティブ化する

Alibaba Cloud アカウントを使用して Managed Service for OpenTelemetry をアクティブ化することをお勧めします。追加の権限付与は必要ありません。RAM ユーザーを使用して Managed Service for OpenTelemetry をアクティブ化する場合は、RAM ユーザーに AliyunARMSFullAccess ポリシーをアタッチします。

Managed Service for OpenTelemetry のアクティブ化: クイックスタート
RAM ユーザーへの権限付与: RAM ユーザーを使用して権限分離を実装する

Managed Service for OpenTelemetry を使用する

開発、デバッグ、またはサービスデプロイ中に生成されたトレース分析ログは、LangStudio コンソールまたは Managed Service for OpenTelemetry コンソールで表示できます。

Simple Log Service (間接的に依存し、Managed Service for OpenTelemetry に必要): Managed Service for OpenTelemetry のログデータを保存します。

シナリオ	説明	操作ガイドリンク
Simple Log Service をアクティブ化する	Alibaba Cloud アカウントを使用して Simple Log Service をアクティブ化することをお勧めします。追加の権限付与は必要ありません。RAM ユーザーを使用して Simple Log Service をアクティブ化する場合は、RAM ユーザーに AliyunLogFullAccess ポリシーをアタッチします。	Simple Log Service のアクティブ化: ストレージリソース階層の説明 RAM ユーザーへの権限付与: RAM ユーザーの作成と権限付与

VPC: アプリケーションフローサービスの実行またはデプロイ中に、システムは仮想プライベートクラウド (VPC) の構成情報をクエリして、EAS サービスを正しくデプロイします。

シナリオ	説明	操作ガイド
VPC をアクティブ化する	Alibaba Cloud アカウントを使用して VPC をアクティブ化することをお勧めします。追加の権限付与は必要ありません。RAM ユーザーを使用して VPC をアクティブ化する場合は、RAM ユーザーに AliyunVPCFullAccess ポリシーをアタッチします。	VPC のアクティブ化: VPC の作成と管理 RAM ユーザーへの権限付与: RAM を使用したアクセスの制御

PAI: PAI ワークスペースと PAI モジュールにアクセスできます。

シナリオ

説明

操作ガイドリンク

PAI をアクティブ化する

Alibaba Cloud アカウントを使用して PAI をアクティブ化することをお勧めします。追加の権限付与は必要ありません。RAM ユーザーを使用して PAI をアクティブ化する場合は、RAM ユーザーに AliyunPAIFullAccess ポリシーをアタッチします。

PAI のアクティブ化: PAI をアクティブ化してデフォルトのワークスペースを作成する
RAM ユーザーへの権限付与: RAM ロールとしてログオンし、PAI を使用する

DataWorks: ナレッジベースの定期的な更新は DataWorks に依存します。この機能を使用するには、DataWorks をアクティブ化し、操作アカウントに権限を付与します。

シナリオ

説明

操作ガイド

DataWorks のアクティブ化

Alibaba Cloud アカウントを使用して DataWorks をアクティブ化することをお勧めします。追加の権限付与は必要ありません。RAM ユーザーを使用して DataWorks をアクティブ化する場合は、RAM ユーザーに AliyunDataWorksFullAccess ポリシーをアタッチします。

DataWorks のアクティブ化: DataWorks のアクティブ化
RAM ユーザーへの権限付与: ベストプラクティス: RAM ユーザーの権限付与ガイド

PAI の Alibaba Cloud アカウントに権限を付与する

Alibaba Cloud アカウントに LangStudio を使用するための権限を付与する

LangStudio を初めてアクティブ化するときは、Alibaba Cloud アカウントにそれを使用する権限を付与する必要があります。そのためには、次の手順を実行します。

PAI コンソールにログインします。右側のペインで、目的のワークスペースを選択し、[LangStudio に入る] をクリックします。
Alibaba Cloud アカウントにクラウドサービスにアクセスするための権限を付与します。
1. 承認をクリックします。
2. [クイック承認] ページで、[承認の確認] をクリックし、指示に従ってセキュリティ検証を完了します。
  [クイック承認] ページでは、システムが関連するサービスロールを Alibaba Cloud アカウントに割り当てます。手動で権限を付与する必要はありません。
LangStudio を使用する前に、[無料でアクティブ化] をクリックして Object Storage Service (OSS)、Simple Log Service、および Managed Service for OpenTelemetry をアクティブ化します。

リファレンス 1: LangStudio サービスロールの権限付与ポリシーを変更する

重要

RAM ポリシーに精通していることを確認して、誤った操作によって LangStudio が利用できなくなるのを防ぎます。

クラウドリソースへのアクセス権限をより詳細に制御する必要がある場合は、RAM コンソールで承認済みの AliyunPAILangStudioDefaultRole ロールの権限ポリシーをカスタマイズできます。次の例では、OSS のアクセスポリシーを変更して、LangStudio のデフォルトのサーバロールにより詳細な権限を付与する方法について説明します。

AliyunPAILangStudioDefaultRole サービスロールのデフォルトポリシーを表示します。

RAM コンソールにログインします。左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
[ロール] ページで、検索ボックスに「AliyunPAILangStudioDefaultRole」と入力し、検索アイコンをクリックしてサービスロールを検索します。次に、サービスロール名をクリックします。

サービスロール詳細ページの [権限] タブで、ポリシーの名前をクリックします。表示されるページで、デフォルトポリシーの内容を表示およびコピーできます。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "eas:CreateService",
        "eas:ListServices",
        "eas:DescribeService",
        "eas:DeleteService",
        "eas:UpdateService",
        "eas:StartService",
        "eas:StopService"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:GetObject",
        "oss:PutObject",
        "oss:DeleteObject",
        "oss:ListObjects"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paillmtrace:GetXtraceToken"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paidlc:CreateJob",
        "paidlc:DeleteJob",
        "paidlc:StopJob",
        "paidlc:GetJob",
        "paidlc:UpdateJob",
        "paidlc:ListJobs"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paidsw:CreateInstance",
        "paidsw:DeleteInstance",
        "paidsw:UpdateInstance",
        "paidsw:StartInstance",
        "paidsw:StopInstance",
        "paidsw:GetInstance",
        "paidsw:ListInstances"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "pai:AssumeUser",
      "Resource": "acs:pai:*:*:users/*",
      "Effect": "Allow"
    },
    {
      "Action": "ram:CreateServiceLinkedRole",
      "Resource": "*",
      "Effect": "Allow",
      "Condition": {
        "StringEquals": {
          "ram:ServiceName": "eas.pai.aliyuncs.com"
        }
      }
    },
    {
      "Action": [
        "dataworks:CreateWorkflowDefinition",
        "dataworks:UpdateWorkflowDefinition",
        "dataworks:GetWorkflowDefinition",
        "dataworks:ListWorkflowDefinitions",
        "dataworks:DeleteWorkflowDefinition",
        "dataworks:CreateDeployment",
        "dataworks:GetDeployment",
        "dataworks:ExecDeploymentStage",
        "dataworks:GetJobStatus",
        "dataworks:ImportWorkflowDefinition"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "paiflow:CreatePipelineRun",
        "paiflow:GetPipelineRun",
        "paiflow:DeletePipelineRun",
        "paidataset:CreateDataset",
        "paidataset:GetDataset",
        "paidataset:UpdateDataset",
        "paidataset:ListDatasets",
        "paidataset:DeleteDataset",
        "paidataset:CreateDatasetVersion",
        "paidataset:GetDatasetVersion",
        "paidataset:UpdateDatasetVersion",
        "paidataset:DeleteDatasetVersion",
        "paidataset:ListDatasetVersions"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

詳細については、「スクリプトエディターを使用してカスタムポリシーを作成する」をご参照ください。次の指示に注意してください。
- デフォルトポリシーの内容を変更します。たとえば、OSS 権限付与ポリシーを更新して、RAM の Condition 要素を使用してアクセス可能な OSS バケットを指定します。サンプルを以下に示します (実際の使用シナリオではすべてのコメントを削除してください):
```
{
    "Version": "1", 
    "Statement": [
        //他のサービスの権限は変更しないでください。

        //OSS バケットへのアクセス権限を設定するためのタグを追加します。
        {
            "Action": [
                "oss:GetObject", 
                "oss:PutObject", 
                "oss:DeleteObject", 
                "oss:ListObjects"
            ], 
            "Resource": "*", 
            "Effect": "Allow", 
            "Condition": {
                "StringEquals": {
                    "oss:BucketTag/Product": "PaiLangStudio"
                }
            }
        }
    ]
}
```
  説明
  OSS ではバケットにタグを追加できます。LangStudio がアクセスを承認されているバケットに、キーと値のペアの形式でタグを追加できます。例: キー: Product、値: PaiLangStudio。詳細については、「バケットタグの管理」をご参照ください。
- 新しいポリシーの名前を CustomAliyunPAILangStudioDefaultRolePolicy に設定します。
CustomAliyunPAILangStudioDefaultRolePolicy ポリシーを AliyunPAILangStudioDefaultRole サービスロールにアタッチし、AliyunPAILangStudioDefaultRolePolicy ポリシーをサービスロールからデタッチします。詳細については、「RAM ロールへの権限付与」および「RAM ロールからの権限の取り消し」をご参照ください。
更新が成功すると、LangStudio は変更されたポリシーに基づいてリソースにアクセスします。

参考資料 2: AliyunPAILangStudioDefaultRole サービスロールが Alibaba Cloud アカウントに割り当てられているかどうかを確認する

AliyunPAILangStudioDefaultRole サービスロールが Alibaba Cloud アカウントに割り当てられているかどうかを確認するには、次の手順を実行します。

説明

Alibaba Cloud アカウントのみがロールを割り当てることができます。RAM ユーザーはロールを割り当てることができません。

RAM コンソールにログインします。左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。
[ロール] ページで、検索ボックスに AliyunPAILangStudioDefaultRole と入力し、検索 [アイコン] をクリックしてサービスロールを検索します。
- サービスロールが検索結果に表示される場合、サービスロールは Alibaba Cloud アカウントに割り当てられています。
- そうでない場合は、サービスロールを Alibaba Cloud アカウントに割り当てる必要があります。詳細については、「LangStudio を使用するための権限を Alibaba Cloud アカウントに付与する」をご参照ください。