許可權管理 - Alibaba Cloud Model Studio

團隊協作中直接共用阿里雲帳號（主帳號）存在安全風險。建議建立RAM使用者（子帳號），並為不同帳號精細配置許可權，包括可使用的業務空間、可操作的功能以及可調用的模型，以降低安全風險。

業務空間：若主帳號下有多個業務或專案在使用阿里雲百鍊，可將它們劃分至不同的業務空間，便於分別管理（如管控各自可調用的模型、隔離彼此的應用和資料等），詳見業務空間管理。

核心概念

要正確配置許可權，需瞭解阿里雲的賬戶類型：

阿里雲帳號：即主帳號，擁有阿里雲百鍊的所有許可權，可以建立和管理RAM使用者，並對RAM使用者進行授權。
RAM使用者：即子帳號，通常由主帳號建立，需主帳號授權後才能使用和管理阿里雲百鍊。詳細瞭解RAM使用者

通過主帳號使用阿里雲百鍊雖便捷，但出於安全考慮，建議使用 RAM 使用者併合理設定許可權。RAM 使用者涉及以下四種許可權：

成員許可權：RAM 使用者只能訪問（唯讀）已加入業務空間內的功能頁面（除系統管理、許可權管理和密鑰管理外）及資料。如何加入業務空間
操作許可權：RAM使用者如需在其所屬業務空間的頁面上執行建立、刪除和編輯等寫入類操作，須擷取相應頁面的操作許可權。
API許可權：RAM使用者如需調用應用資料、知識庫、Prompt工程等功能的介面，須擷取相應API的許可權。
系統管理權限：如需使用RAM使用者開通阿里雲百鍊的功能特性、支付預付費類訂單，以及訪問系統管理頁面（管理主帳號下的業務空間、空間成員及API-KEY），須擷取阿里雲百鍊的全域系統管理權限。
重要
系統管理權限不包括任何特定業務空間的訪問許可。如需訪問業務空間，須擷取該空間的成員許可權。

核心樣本

1. 我是專案成員，如何配置許可權

情境：需要用RAM使用者user-01在A專案這個業務空間內進行 AI 應用開發。

步驟：

（主帳號操作）建立業務空間：在阿里雲百鍊控制台建立一個用於隔離專案資源的空間A專案。如何建立業務空間
若目標業務空間已存在，可跳過此步驟。
（主帳號操作）建立RAM使用者：在RAM控制台建立一個RAM使用者user-01。如何建立RAM使用者
（主帳號操作）配置成員和操作許可權：新使用者user-01加入業務空間，並擷取模型和應用相關頁面的操作許可權。
（RAM使用者操作）登入驗證：新使用者user-01登入阿里雲百鍊控制台並開始使用。

2. 我是管理員，如何配置許可權

情境：需要用RAM使用者admin-01管理主帳號下所有業務空間、以及空間的成員和API-KEY，但不直接參与開發。

步驟：

（主帳號操作）建立RAM使用者：在RAM控制台建立一個RAM使用者admin-01。
（主帳號操作）組態管理許可權：新使用者admin-01擷取阿里雲百鍊的系統管理權限。
系統管理權限不包括任何特定業務空間的訪問許可。如需訪問業務空間，請參考上方的樣本1。
（RAM使用者操作）登入驗證：新使用者admin-01登入阿里雲百鍊控制台並開始管理，詳見業務空間管理和成員管理。

許可權申請流程

RAM 使用者和 RAM 角色可參考本節內容，完整擷取阿里雲百鍊的訪問與使用許可權。

RAM角色：多個 RAM 使用者可通過“扮演”設定的許可權身份統一獲得阿里雲百鍊的使用許可權。

使用RAM使用者

步驟	說明
第一步：加入業務空間	RAM使用者須先加入某個業務空間，取得該空間下資源和資料的唯讀許可權。成員添加後通常秒級內生效（高峰期可能會稍有延遲），生效後RAM使用者即可登入被授權訪問的業務空間。
第二步：擷取操作許可權	在加入的業務空間內，RAM使用者預設擁有除系統管理、許可權管理及密鑰管理外所有功能頁面的唯讀類許可權（如查看），“操作”指在此基礎上進一步取得寫入類許可權（如建立、刪除和編輯）。重要關於模型授權（子業務空間成員需關注）預設業務空間的成員無需模型授權，可直接跳過本說明。子業務空間（非預設業務空間）成員能否調用某個模型（例如通義千問-Plus）取決於該業務空間是否擁有此模型的調用許可權，詳見模型授權（若該業務空間先前已授權過，無需重複授權）。
第三步：擷取API許可權	RAM使用者如需調用應用資料、知識庫、Prompt工程等功能的介面，須擷取API許可權。
第四步（可選）：擷取系統管理權限	若RAM使用者需在其所屬業務空間內開通阿里雲百鍊的功能特性、支付預付費類訂單，以及跨業務空間進行全域管理（如管理所有業務空間、成員、API-KEY），須擷取系統管理權限。
下一步	開始使用阿里雲百鍊

使用RAM角色

步驟	說明
第一步：加入業務空間	RAM角色須先加入某個業務空間，取得該空間下資源和資料的唯讀許可權。詳見RAM角色登入並使用阿里雲百鍊中的步驟一至步驟四。成員添加後通常秒級內生效（高峰期可能會稍有延遲），生效後RAM使用者即可通過扮演該RAM角色登入被授權的業務空間。
第二步：擷取操作許可權	在加入的業務空間內，RAM角色預設擁有除系統管理、許可權管理及密鑰管理外所有功能頁面的唯讀類許可權（如查看），“操作”指在此基礎上進一步取得寫入類許可權（如建立、刪除和編輯）。詳見RAM角色登入並使用阿里雲百鍊中的步驟四。重要關於模型授權（子業務空間成員需關注）預設業務空間的成員無需模型授權，可直接跳過本說明。子業務空間（非預設業務空間）成員能否調用某個模型（例如通義千問-Plus）取決於該業務空間是否擁有此模型的調用許可權，詳見模型授權（若該業務空間先前已授權過，無需重複授權）。
第三步：擷取API許可權	RAM角色如需調用應用資料、知識庫、Prompt工程等功能的介面，須獲得API許可權。詳見RAM角色登入並使用百鍊中的步驟五。
第四步（可選）：擷取系統管理權限	若RAM角色需在其所屬業務空間內開通阿里雲百鍊的功能特性、支付預付費類訂單，以及跨業務空間進行全域管理（如管理所有業務空間、成員、API-KEY），須獲得系統管理權限。詳見RAM角色登入並使用百鍊中的步驟六。
下一步	開始使用阿里雲百鍊

應用於生產環境

最小許可權原則：只授予完成任務所必需的最小許可權。例如，開發人員只需要特定業務空間的功能操作許可權，不應被授予系統管理權限。
日常操作使用RAM使用者：建議僅使用主帳號進行授權和成本管理。所有日常的AI應用開發、模型調用等工作都應通過RAM使用者完成。
使用業務空間隔離環境：為不同的專案、團隊或環境（如開發、測試、生產）建立獨立的業務空間，以實現嚴格的許可權和資料隔離。
定期審計許可權：定期審查RAM使用者的許可權，及時移除不再需要的許可權或刪除已離開的成員帳號。

常見問題

為什麼我找不到建立業務空間的入口/進入帳號管理的入口？

相關功能位於系統管理（新加坡或北京）頁面，屬於阿里雲百鍊的管理功能。若需在該頁面上進行管理，須先擷取阿里雲百鍊的系統管理權限。

使用RAM使用者/角色時，如何查看我的阿里雲百鍊賬單？

對於RAM使用者/角色，目前不支援查看特定產品（例如阿里雲百鍊）的賬單。如果需要查看所有產品的賬單，需要主帳號在RAM控制台中為RAM使用者/角色配置AliyunBSSReadOnlyAccess系統策略。具體操作步驟，RAM使用者可參考為RAM使用者授權，RAM角色可參考為RAM角色授權。

在支付阿里雲百鍊預付費訂單時遇到bss:PayOrder報錯，應該如何處理？

請注意，RAM使用者預設無權查看阿里雲百鍊的賬單。如需查看，需要主帳號授予阿里雲百鍊的系統管理權限和AliyunBSSOrderAccess系統策略（授權步驟，RAM使用者可參考為RAM使用者授權，RAM角色可參考為RAM角色授權）。

RAM使用者/角色已具有AdministratorAccess系統策略，還需要組態管理許可權（AliyunBailianFullAccess策略）嗎？

AdministratorAccess策略已包含AliyunBailianFullAccess策略，擁有該策略的RAM使用者（子帳號）已具備阿里雲百鍊的全域系統管理權限，無需重複配置。

遇到報錯子帳號無操作許可權AliyunSFMFullAccess/AliyunBailianFullAccess，應該如何處理？

需要主帳號為RAM使用者（或RAM角色）配置AliyunBailianFullAccess系統策略。具體操作步驟，RAM使用者可參考系統管理權限，RAM角色可參考為RAM角色授予阿里雲百鍊的系統管理權限。

遇到報錯NoPermission，sfm:GetRetrievePromptPipelineMaxLimit，應該如何處理？

需要主帳號為RAM使用者/角色配置AliyunBailianDataFullAccess系統策略（AliyunBailianDataReadOnlyAccess不可以）。具體操作步驟，RAM使用者可參考API許可權，RAM角色可參考為RAM角色授予API許可權。

使用RAM使用者/角色時，首次開通模型調用功能以及支付預付費訂單時需要哪些RAM許可權？

功能名稱	需要開通的RAM許可權
模型調用	需要主帳號為RAM使用者/角色配置`AliyunBailianFullAccess`系統策略。具體操作步驟，RAM使用者可參考系統管理權限，RAM角色可參考為RAM角色授予阿里雲百鍊系統管理權限。
支付預付費訂單	需主帳號為RAM使用者/角色配置`AliyunBSSOrderAccess`和`AliyunBailianFullAccess`系統策略。具體操作步驟，RAM使用者可參考為RAM使用者授權，RAM角色可參考為RAM角色授權。