阿里雲百鍊許可權管理支援基於控制台頁面級、模型級的多維度許可權控制,滿足多地區、多使用者的複雜組織架構需求。
阿里雲百鍊身份管理
單個業務空間是進行精微調權限管理(模型、使用者)和阿里雲賬單分賬的最小嵌入式管理單元。
百鍊的業務空間許可權管理基於三種角色:
-
超級管理員:可跨空間統一系統管理使用者許可權、空間可用模型、空間模型限流和 API Key。
-
業務空間管理員:只負責某個特定業務空間內的使用者權限和資源管理。
-
普通使用者:根據分配的許可權使用資源。
|
業務空間許可權 |
超級管理員(擁有AliyunBailianFullAccess系統策略) |
業務空間管理員 |
普通使用者 |
|
允許特定模型調用 & 限流 |
|
|
|
|
允許特定模型調優 |
|
|
|
|
使用者管理 |
|
|
|
|
使用者可用頁面管理 |
|
|
|
|
API Key 管理 |
|
|
|
|
訪問/使用被授權的空間、頁面、資源 |
|
|
|
|
|
|
|
超級管理員
包含以下兩類帳號:
-
阿里雲主帳號,可在百鍊控制台右上方看到:
-
擁有AliyunBailianFullAccess (百鍊管理員)系統策略的 RAM 使用者(帳號)。該 RAM 使用者可以通過百鍊的全域管理菜單( 新加坡 | 北京 | 維吉尼亞),為任意 RAM 使用者(包括自己)授權任意地區、任意空間的幾乎所有許可權。(僅 OpenAPI 介面許可權 需要阿里雲主帳號可以添加)
RAM使用者是阿里雲主帳號建立的子帳號,用於安全地向團隊內成員分配雲資源和許可權。
可在右上方看到:
超級管理員可以使用百鍊的全域管理菜單( 新加坡 | 北京 | 維吉尼亞),進行多業務空間管理。功能包含:
-
建立業務空間,管理業務空間名稱。
-
對所有業務空間進行模型管理、模型限流。
-
對所有業務空間進行帳號(使用者)管理。
-
管理所有的 API Key。
如需開通模型監控功能,建議使用阿里雲主帳號在控制台進行一次性授權和開通。
業務空間管理員
指的是擁有訪問某個業務空間权限管理頁面的阿里雲 RAM 使用者。可以通過該頁面管理該業務空間。
管理員許可權包含可訪問該業務空間下所有頁面的許可權。
業務空間許可權管理
百鍊按地理地區劃分資源和業務空間,單個業務空間不能跨地區存在。即使各個地區的預設業務空間,也是不同的空間。點擊前往全域管理菜單( 新加坡 | 北京 | 維吉尼亞)。
同時百鍊的業務空間是進行精微調權限管理的最小嵌入式管理單元,它可管理:
|
業務空間許可權 |
超級管理員(擁有AliyunBailianFullAccess系統策略) |
業務空間管理員 |
普通使用者 |
|
允許特定模型調用 & 限流 |
|
|
|
|
允許特定模型調優 |
|
|
|
|
使用者管理 |
|
|
|
|
使用者可用頁面管理 |
|
|
|
|
API Key 管理 |
|
|
|
|
訪問/使用被授權的空間、頁面、資源 |
|
|
|
|
|
|
|
-
限制模型調用:管理某個模型可否在該業務空間調用(控制台& API)並設定該模型的请求数限流和 Token限流。
預設業務空間無法設定此限制,所有模型均可調用,且無法限流。
-
限制模型訓練:管理某個模型可否在該業務空間進行調優(通過控制台和API)和調優後部署。
預設業務空間無法設定此限制,所有支援調優的模型均可調優以及調優完成後部署。
-
使用者(帳號)控制台許可權管理:管理某個 RAM 使用者是否能使用該業務空間控制台的功能以及能使用該業務空間控制台的哪些功能。但無法限制歸屬該使用者的 API Key 的調用。
阿里雲主帳號無須設定,可以訪問所有業務空間的所有頁面。
API-Key 許可權
單個 API Key 只能歸屬一個地區內的一個業務空間和一個使用者,且不能轉移給其他業務空間或其他使用者。API Key 的可調用的功能和模型限流與归属业务空间的許可權保持一致,不受使用者(帳號)控制台許可權管理的影響。
API Key 的狀態隨歸屬使用者(帳號)操作的變化:
觸發操作 | 主帳號的 API Key | RAM 帳號的 API Key | RAM 角色的 API Key |
主動刪除 API Key | 失效,不可恢複 | 失效,不可恢複 | 失效,不可恢複 |
將帳號移出業務空間 | — | 失效 重新加入業務空間後 API Key 恢複生效 | 有效 |
在 RAM 控制台刪除帳號/角色 | — | 失效,不可恢複 | 有效 |
管理 API-Key:可以通過百鍊控制台左側導覽列中的权限管理頁簽內,為 RAM 使用者添加 API-Key 許可權。賦予對應 RAM 使用者建立、刪除、查看該空間下所有 API-Key 的許可權。
OpenAPI 介面許可權
RAM 使用者預設無權調用百鍊應用的資料、知識庫、Prompt工程等功能的Open API。
若需調用,需要阿里雲主帳號在 RAM 控制台為 RAM 使用者添加以下許可權之一:
-
AliyunBailianDataFullAccess:可調用百鍊應用 API目錄下的所有API。
-
AliyunBailianDataReadOnlyAccess:可調用百鍊應用 API目錄下的唯讀類API,例如DescribeFile - 查詢檔案狀態、GetIndexJobStatus - 查詢知識庫建立任務狀態等。
應用於生產環境
-
空間規劃策略
-
按環境劃分(推薦):為開發、測試、預發和生產環境建立獨立的業務空間,實現嚴格的環境隔離。
-
project-dev-workspace -
project-test-workspace -
project-prod-workspace
-
-
按業務線劃分:為公司內不同的業務部門(如市場、售後、設計)建立獨立的業務空間,便於許可權和成本管理。
-
marketing-team-workspace -
customer-team-workspace
-
-
-
限流策略
-
將主帳號總配額按比例分配給各業務空間,並預留一部分作為緩衝,以應對突發流量。
樣本:帳號總配額為 1000 QPM,分配方案如下:
-
project-prod-workspace: 600 QPM (60%) -
project-test-workspace: 200 QPM (20%) -
project-dev-workspace: 100 QPM (10%) -
預留緩衝:100 QPM (10%)
-
-
賬單查看與預付費許可權管理
RAM 使用者預設無權查看阿里雲賬單和購買阿里雲預付費產品,如需為 RAM 使用者開通相關許可權,需要在 RAM 控制台為 RAM 使用者添加特定許可權。
以下許可權將授予 RAM 使用者查看阿里雲所有產品的賬單或購買阿里雲所有預付費產品的許可權,請謹慎授權。
-
查看阿里雲賬單需要為 RAM 使用者添加
AliyunBSSReadOnlyAccess許可權。 -
購買阿里雲預付費產品需要為 RAM 使用者添加
AliyunBSSOrderAccess許可權。
常用設定
設定超級管理員
需要 阿里雲帳號(主帳號)或具備AliyunRAMFullAccess系統策略的 RAM 使用者操作。
-
前往 RAM 控制台,為 RAM 使用者添加 AliyunBailianFullAccess (百鍊管理員)許可權和
AliyunBSSOrderAccess(購買阿里雲預付費產品)許可權。 -
設定完成後即可通過百鍊的全域管理菜單( 新加坡 | 北京 | 維吉尼亞),為任意 RAM 使用者(包括自己)授權任意地區、任意空間的任意許可權,併購買百鍊的預付費產品。
設定業務空間管理員
需要超級管理員或業務空間管理員操作。
-
在百鍊控制台左側導覽列中的权限管理頁簽內,為 RAM 使用者添加管理員許可權。
設定模型調用許可權
-
若不使用預設業務空間,需保證業務空間已經為特定模型開通了模型調用許可權。(需要超級管理員操作)
-
若需要通過百鍊的控制台調用,需要在百鍊控制台左側導覽列中的权限管理頁簽內,為 RAM 使用者添加:(需要超級管理員或業務空間管理員操作)
-
模型體驗-操作 許可權,用於在控制台上調用模型。
-
批量推理-操作 許可權,用於支援 批量推理功能。
-
模型觀測-操作 許可權,用於查看模型調用、評測的 Token 消耗量。
-
-
若需要通過百鍊的 API 呼叫,需要為 RAM 使用者在對應業務空間建立或分配 API Key,更多細節請參考本文的:API-Key 許可權。(需要超級管理員或業務空間管理員操作)
設定 API 模型調優許可權
-
若不使用預設業務空間,需保證業務空間為特定模型開通了模型調優(訓練)許可權。(需要超級管理員操作)
-
為 RAM 使用者在對應業務空間建立或分配 API Key,更多細節請參考本文的:API-Key 許可權。(需要超級管理員或業務空間管理員操作)
常見問題
1. 如何擷取業務空間 ID 呢?
請參考應用開發的擷取Workspace ID。
2. 如何使用子業務空間調用模型?
無需特殊設定,使用子業務空間的 API-Key 即可。
3. 如何使用特定業務空間的應用?
使用 API 管理、調用特定業務空間的應用需要同時設定 APP ID 和 Workspace ID。