Resource Access Management (RAM) ユーザーとして Platform for AI (PAI) の Elastic Algorithm Service (EAS) にアクセスする場合は、Alibaba Cloud アカウントを使用して RAM ユーザーに必要な権限を付与する必要があります。このトピックでは、RAM ユーザーに EAS へのアクセス権限を付与する方法について説明します。
背景情報
次のいずれかの方法を使用して、RAM ユーザーに EAS へのアクセス権限を付与できます。
EAS に対する完全な権限を提供する AliyunPAIEASFullAccess システムポリシー を使用します。ポリシーを RAM ユーザーにアタッチすると、RAM ユーザーは EAS のすべての機能を使用できます。
RAM ユーザーに EAS に対する読み取り専用権限を付与する
EAS での読み取り専用権限には、AliyunPAIEASReadOnlyAccess システムポリシーを使用します。ポリシーを RAM ユーザーにアタッチすると、その RAM ユーザーは EAS にデプロイされているモデルサービスをクエリおよび閲覧できるようになります。
上記の方法で要件を満たせない場合は、カスタムポリシーを作成して、RAM ユーザーに詳細な権限を付与できます。たとえば、カスタムポリシーを作成して、RAM ユーザーに EAS のモデルサービスまたは専用リソースグループをクエリおよび変更する権限を付与できます。
RAM ユーザーに EAS に対する完全な権限を付与する
このセクションでは、RAM ユーザーに EAS のすべての 特徴 を使用する権限を付与する方法について説明します。
[RAM コンソール] にログインします。
RAM ユーザーに EAS に対する完全な権限を付与します。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
次のパラメーターに注意してください。
リソース範囲: このパラメーターを アカウント に設定します。
ポリシー: システムポリシー AliyunPAIEASFullAccess を選択します。
説明Object Storage Service (OSS) の権限はデータセキュリティに関連しています。AliyunPAIEASFullAccess ポリシーは OSS の権限を提供しません。RAM ユーザーに OSS の権限を別途付与する必要があります。詳細については、「RAM ポリシーエディター」をご参照ください。
RAM ユーザーに EAS に対する読み取り専用権限を付与する
このセクションでは、RAM ユーザーに EAS にデプロイされているモデルサービスをクエリおよび表示する権限を付与する方法について説明します。
[RAM コンソール] にログインします。
RAM ユーザーに EAS に対する完全な権限を付与します。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
次のパラメーターに注意してください。
リソース範囲: このパラメーターを アカウント に設定します。
ポリシー: システムポリシー AliyunPAIEASReadOnlyAccess を選択します。
カスタムポリシーの作成
このセクションでは、カスタムポリシーを作成して、RAM ユーザーに EAS のモデルサービスまたは専用リソースグループをクエリおよび変更する権限を付与する方法について説明します。
[RAM コンソール] にログインします。
カスタムポリシーを作成します。詳細については、「JSON タブでカスタムポリシーを作成する」をご参照ください。
重要ポリシー ドキュメントを指定するときは、最小権限の原則に従うことを推奨します。
次のコードは、ポリシー ドキュメントのサンプルを示しています。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "eas:CreateInstance", "Resource": "*" }, { "Effect": "Allow", "Action": [ "eas:DescribeService", "eas:DeleteService", "eas:UpdateService", "eas:UpdateServiceVersion" ], "Resource": [ "acs:eas:<region>:<uid>:service/eas-m-xxx1",// このトピックの「ポリシーの説明」セクションの指示に従って、ビジネス要件に基づいてこの設定を変更します。 "acs:eas:<region>:<uid>:service/eas-m-xxx2" ], } ] }Action および Resource 要素の設定の詳細については、このトピックの「ポリシーの説明」セクションをご参照ください。
ポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
次のパラメーターに注意してください。
リソース範囲: このパラメーターを アカウント に設定します。
ポリシー: ステップ 2 で作成したカスタムポリシーを選択します。
ポリシーの説明
各ポリシーには、Action 要素と Resource 要素が含まれています。Action 要素は実行されるアクションを指定し、Resource 要素はアクションが実行されるプリンシパルを指定します。次の表に、Action 要素と Resource 要素の有効な値を示します。
Action
カテゴリ
アクション
説明
サービス関連のアクション
eas:CreateService
モデルサービスを作成します。
eas:ListServices
モデルサービスを表示します。
eas:DescribeService
モデルサービスの詳細を表示します。
eas:DeleteService
モデルサービスを削除します。
eas:DeleteServiceLabel
モデルサービスのタグを削除します。
eas:ListServiceInstances
EAS インスタンスに関する情報を表示します。
eas:DeleteServiceInstances
EAS インスタンスを再起動します。
eas:UpdateService
モデルサービスを更新するか、バージョンを追加します。
eas:UpdateServiceVersion
モデルサービスのバージョンを切り替えます。
eas:StartService
モデルサービスを開始します。
eas:StopService
モデルサービスを停止します。
eas:UpdateService
モデルサービスを更新します。
eas:UpdateServiceLabel
モデルサービスのタグを更新します。
eas:RestartService
モデルサービスを再起動します。
eas:CreateServiceAutoScaler
モデルサービスの自動スケーリングを有効にします。
eas:CreateServiceCronScaler
モデルサービスのスケジュールされた自動スケーリングを有効にします。
eas:DeleteServiceAutoScaler
モデルサービスの自動スケーリングを無効にします。
eas:DeleteServiceCronScaler
モデルサービスのスケジュールされた自動スケーリングを無効にします。
eas:DescribeServiceAutoScaler
モデルサービスの自動スケーリングステータスを表示します。
eas:DescribeServiceCronScaler
モデルサービスのスケジュールされた自動スケーリングに関する情報を表示します。
eas:UpdateServiceAutoScaler
モデルサービスの自動スケーリング設定を更新します。
eas:UpdateServiceCronScaler
モデルサービスのスケジュールされた自動スケーリング設定を更新します。
eas:CreateAppService
アプリケーションサービスを作成します。
eas:UpdateServiceSafetyLock
サービスセキュリティロックを更新します。
eas:UpdateServiceInstance
サービスインスタンスの属性を更新します。
eas:UpdateAppService
アプリケーションサービスを更新します。
eas:DescribeServiceDiagnosis
サービスの診断詳細を表示します。
eas:DescribeServiceInstanceDiagnosis
サービスインスタンスの診断詳細を表示します。
eas:DescribeServiceEvent
モデルサービスデプロイイベントを表示します。
eas:DescribeGroup
サービスグループの詳細を表示します。
eas:ListServiceVersions
サービスの履歴バージョンを表示します。
eas:ListServiceContainers
サービスのコンテナーリストを表示します。
eas:ListGroups
サービスグループのリストを表示します。
eas:CreateServiceMirror
ミラーセッションを作成します。
eas:DescribeServiceMirror
ミラーセッションのステータスを表示します。
eas:UpdateServiceMirror
ミラーセッションの設定を更新します。
eas:DeleteServiceMirror
ミラーセッションを閉じます。
eas:ReleaseService
ブルーグリーンデプロイメントのトラフィック比率を指定します。
eas:DescribeServiceLog
モデルサービスのログを表示します。
リソースグループ関連のアクション
eas:CreateResource
専用リソースグループを作成します。
eas:DescribeResource
専用リソースグループに関する基本情報を表示します。
eas:ListResources
専用リソースグループを表示します。
eas:DeleteResource
専用リソースグループを削除します。
eas:UpdateResource
専用リソースグループに関する基本情報を更新します。
eas:ListResourceInstances
専用リソースグループのインスタンスを表示します。
eas:ListResourceInstanceWorker
専用リソースグループのインスタンスでホストされているコンテナーを表示します。
eas:ListResourceServices
専用リソースグループにデプロイされているモデルサービスを表示します。
eas:CreateResourceInstances
専用リソースグループにインスタンスを追加します。
eas:UpdateResourceInstance
専用リソースグループ内のインスタンスを更新します。
eas:DeleteResourceInstances
専用リソースグループからインスタンスを削除します。
eas:UpdateResourceDLink
専用リソースグループの Virtual Private Cloud (VPC) ダイレクト接続のステータスを更新します。
eas:DescribeResourceDLink
専用リソースグループの VPC ダイレクト接続のステータスを表示します。
eas:DeleteResourceDLink
専用リソースグループの VPC ダイレクト接続設定を削除します。
eas:CreateResourceLog
専用リソースグループのログシッパーを有効にします。
eas:DescribeResourceLog
専用リソースグループのログシッパーのステータスを表示します。
eas:DeleteResourceLog
専用リソースグループのログシッパーを無効にします。
ストレステスト関連のアクション
eas:CreateBenchmarkTask
ストレステストタスクを作成します。
eas:DeleteBenchmarkTask
ストレステストタスクを削除します。
eas:DescribeBenchmarkTask
ストレステストタスクの詳細を表示します。
eas:DescribeBenchmarkTaskReport
ストレステストタスクのレポートを表示します。
eas:ListBenchmarkTask
ストレステストタスクのリストを表示します。
eas:StartBenchmarkTask
ストレステストタスクを開始します。
eas:StopBenchmarkTask
ストレステストタスクを停止します。
eas:UpdateBenchmarkTask
ストレステストタスクを更新します。
プライベートゲートウェイ関連のアクション
eas:CreateGateway
プライベートゲートウェイを作成します。
eas:DescribeGateway
プライベートゲートウェイの詳細を表示します。
eas:UpdateGateway
プライベートゲートウェイを更新します。
eas:CreateGatewayIntranetLinkedVpc
プライベートゲートウェイの内部エンドポイントを作成します。
eas:ListGatewayIntranetLinkedVpc
プライベートゲートウェイの内部エンドポイントを表示します。
eas:DeleteGatewayIntranetLinkedVpc
プライベートゲートウェイの内部エンドポイントを削除します。
eas:DeleteGateway
プライベートゲートウェイを削除します。
eas:ListPrivileges
ユーザーのホワイトリスト設定を確認します
Resource
EAS の Resource 要素は次のフォーマットです。
acs:eas:<region>:<uid>:<resource_type>/<id>次のパラメーターを実際の値に置き換えます。
<region>: モデルサービスまたは専用リソースグループがデプロイされているリージョン。
<uid>: リソースが属するアカウントの UID。
<resource_type>: リソースタイプ。たとえば、モデルサービスに関連するリソースを管理する場合は、値を service に設定します。リソースグループに関連するリソースを管理する場合は、値を resource に設定します。
<id>: モデルサービスまたは専用リソースグループの ID。
次の例は、パブリックリソースグループにデプロイされたモデルサービスの管理、専用リソースグループにデプロイされたモデルサービスの管理、および専用リソースグループの管理のシナリオにおける Resource 要素の値を示しています。
EAS にデプロイされているモデルサービスを管理する
パブリックリソースグループにデプロイされているモデルサービスを管理する
acs:eas:cn-hangzhou:123456789012****:service/eas-m-u12fxt9ml1syoj****Resource の値は、パブリックリソースグループにデプロイされているモデルサービス eas-m-u12fxt9ml1syoj**** を指定します。このモデルサービスは中国 (杭州) リージョンにデプロイされており、123456789012**** という名前のアカウントに属しています。
acs:eas:cn-hangzhou:123456789012****:service/your_service_nameResource の値は、パブリックリソースグループにデプロイされているモデルサービス your_service_name を指定します。このモデルサービスは中国 (杭州) リージョンにデプロイされており、123456789012**** という名前のアカウントに属しています。
専用リソースグループにデプロイされているモデルサービスを管理する
acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/eas-m-iaskn1skn1us****Resource の値は、専用リソースグループ eas-r-jksauxqjsai8**** にデプロイされているモデルサービス eas-m-iaskn1skn1us**** を指定します。このモデルサービスは中国 (上海) リージョンにデプロイされており、123456789012**** という名前のアカウントに属しています。
acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/your_private_serviceResource の値は、専用リソースグループ eas-r-jksauxqjsai8**** にデプロイされているモデルサービス your_private_service を指定します。このモデルサービスは中国 (上海) リージョンにデプロイされており、123456789012**** という名前のアカウントに属しています。
専用リソースグループを管理する
acs:eas:cn-beijing:123456789012****:resource/eas-r-jksauxqjsai8****Resource の値は、専用リソースグループ eas-r-jksauxqjsai8**** を指定します。この専用リソースグループは中国 (北京) リージョンにデプロイされており、123456789012**** という名前のアカウントに属しています。
ワイルドカード文字の使用
Resource でアスタリスク (*) ワイルドカードを使用して、複数のリソースを指定できます。
次の例は、ワイルドカード文字を使用した場合の Resource の値を示しています。
acs:eas:*:123456789012****:service/*Resource の値は、123456789012**** という名前のアカウントに属し、すべてのリージョンのパブリックリソースグループにデプロイされているモデルサービスを指定します。
acs:eas:cn-hangzhou:123456789012****:resource/eas-r-jksauxqjsai8****/*Resource の値は、123456789012**** という名前のアカウントに属し、中国 (杭州) リージョンの専用リソースグループ eas-r-jksauxqjsai8**** にデプロイされているすべてのモデルサービスを指定します。
acs:eas:*:123456789012****:*Resource の値は、すべてのリージョンにある 123456789012**** という名前のアカウントに属するすべてのリソースグループとモデルサービスを指定します。
acs:eas:*:123456789012****:service/prefix*Resource の値は、名前に
prefixプレフィックスが含まれるリージョンにある、123456789012**** という名前のアカウントに属するすべてのリソースグループとモデルサービスを指定します。