業務空間成員管理 - Alibaba Cloud Model Studio

管理業務空間成員及其功能許可權。

新增成員

必須先將RAM使用者添加為業務空間的成員，其才能訪問（唯讀）該空間的功能頁面（除系統管理、許可權管理和密鑰管理外）及資料。

阿里雲百鍊不會自動添加RAM使用者到任何業務空間，請參考下方步驟手動添加（暫不支援大量新增和邀請）。

操作步驟

重要

需主帳號或具備系統管理權限的RAM使用者操作。

在系統管理（新加坡或北京）頁面，點擊左側導覽列中的帳號管理。點擊頁面右上方的新增使用者。
- 類型：選擇RAM使用者。
- RAM使用者：下拉式清單將展示主帳號下的所有RAM使用者，選擇要授權的RAM使用者。瞭解如何建立RAM使用者
- 顯示名稱：設定該使用者在阿里雲百鍊中展示的名稱。
點擊確定，添加的RAM使用者即出現在列表中。
至此該RAM使用者還未被添加到任何業務空間，因此在登入阿里雲百鍊時會提示您沒有該業務空間許可權或業務空間不存在，還需為其指定可訪問的業務空間和功能頁面。
在帳號管理列表中，找到剛添加的使用者，點擊其右側的許可權管理，然後點擊+添加許可權，選擇允許該使用者訪問的業務空間及要授予的頁面許可權。
擁有管理員頁面許可權的RAM使用者可操作授權業務空間中除頁面右上方按鈕（即系統管理）以外的所有功能。
點擊確定，授權即生效。被授權的RAM使用者已能夠訪問相應的業務空間。
至此該RAM使用者已能夠訪問相應的業務空間。

配置成員許可權

加入業務空間的RAM使用者可擷取4種權限類別型：模型許可權、頁面許可權、API許可權和系統管理權限。彼此互不重疊，請按需配置。

主帳號預設擁有所有業務空間的全部許可權。

模型許可權

RAM使用者的模型許可權與業務空間綁定，不同空間的模型授權相互獨立。

預設業務空間：RAM使用者加入預設業務空間後可直接調用所有支援的模型，無需執行下方步驟授權。支援調用的模型列表
子業務空間：初始狀態下子業務空間無任何模型調用許可權。請參考下方步驟授權該空間使用特定模型（例如qwen-plus），RAM使用者才能在該空間內對該模型進行調用。

例如：某RAM使用者同時屬於預設業務空間和業務空間A（子業務空間，且未獲得qwen-plus的授權）。其在預設空間中可自由使用qwen-plus，但切換至空間A後則無法使用該模型。

注意：若將預設業務空間中的API Key共用給子業務空間的RAM使用者，其可繞過空間授權直接通過API調用模型。該方法雖在技術上可行，但可能引入安全風險，應避免。

操作步驟

重要

請使用主帳號操作。若需使用RAM使用者，需主帳號為其配置系統管理權限，並將其添加為需要獲得模型授權的業務空間的成員。

進入業務空間管理（新加坡或北京）介面，找到需要授權的子業務空間，點擊右側的模型許可權流控設定。
找到目標模型，然後點擊右側的編輯。
開啟相應許可權後，點擊儲存即可。

頁面許可權

在加入的業務空間中，RAM使用者預設僅擁有除系統管理、許可權管理及密鑰管理外所有功能頁面的唯讀許可權（查看功能）。

若需使用特定頁面（如知識庫等）的完整功能（包括建立、刪除和編輯等寫入類操作），請參考下方步驟添加相應頁面的操作許可權。

操作步驟

重要

需主帳號或在目標業務空間內具備管理員或許可權管理頁面許可權的RAM使用者操作。

在阿里雲百鍊控制台首頁（新加坡或北京）左下角，點擊表徵圖切換到目標業務空間。
在左側導覽列中，點擊許可權管理，找到目標RAM使用者，點擊其右側的許可權管理。
在頁面許可權地區，點擊編輯，勾選需要的功能頁面操作許可權（支援多選，建議僅授予使用者完成其任務所必需的許可權），然後點擊確定。

API許可權

在加入的業務空間中，RAM使用者預設無權調用應用資料、知識庫、Prompt工程等功能的介面。

若需調用，請參考下方步驟手動添加相應API的許可權。

操作步驟

重要

需主帳號或具備AliyunRAMFullAccess系統策略的RAM使用者操作。

在RAM控制台的左側導覽列中，選擇身份管理 > 使用者。
雖然API許可權通過RAM策略授予，但介面調用時需攜帶業務空間IDWorkspaceId，因此最終許可權範圍受使用者所屬的業務空間限制。
找到目標RAM使用者，點擊其右側的添加許可權。
在添加許可權面板中，資源範圍請選擇帳號層級。在權限原則地區，搜尋並勾選以下任一策略：
- AliyunBailianDataFullAccess：可調用API目錄下的所有API。
- AliyunBailianDataReadOnlyAccess：可調用API目錄下的唯讀類API，例如DescribeFile、GetIndexJobStatus等，但無法調用API目錄下的增刪改類API，例如Retrieve、AddFile、CreateIndex等。
點擊確認新增授權。瞭解如何解除授權

注意：如需限制RAM使用者調用API目錄中的某個具體API，請參考下方摺疊面板中的說明配置。

授予單個介面的調用許可權步驟

1. 建立自訂策略

在RAM控制台的左側導覽列中，選擇許可權管理 > 權限原則，然後點擊頁面上的建立權限原則。完成後點擊確定。
- 效果：選擇允許或拒絕。
- 服務：選擇大模型服務平台百鍊 / SFM。
- 操作：選擇全部操作或指定操作。可直接在搜尋方塊中輸入要添加到自訂策略中的許可權（操作）名稱，例如sfm:CreateIndex。
  當效果為允許時，選擇全部操作將使RAM使用者擁有調用API目錄下所有API的許可權。
在彈出的對話方塊中填寫自訂策略的名稱和備忘資訊後，再點擊確定。

2. 為RAM使用者授予自訂策略

策略建立成功後，點擊頁面上的新增授權（或在左側導覽列選擇授權後再點擊頁面上的新增授權），為RAM使用者授予剛建立的自訂策略。
- 資源範圍：選擇帳號層級。
- 授權主體：選擇待授權的RAM使用者。可選中多個RAM使用者進行大量授權。
- 權限原則：在搜尋方塊中輸入剛建立的自訂策略並勾選。
點擊確認新增授權，完成授權配置。瞭解如何解除授權。

系統管理權限

在加入的業務空間中，RAM使用者預設無權訪問系統管理（新加坡或北京），因此無法管理主帳號下的任何阿里雲百鍊業務空間、帳號和API Key。

如需授權RAM使用者執行此類全域管理操作，請參考下方步驟添加系統管理權限。

操作步驟

重要

需主帳號或具備AliyunRAMFullAccess系統策略的RAM使用者操作。

在RAM控制台的左側導覽列中，選擇身份管理 > 使用者。
點擊待授權的RAM使用者操作列的添加許可權。
將資源範圍設定為帳號層級。在權限原則地區，搜尋並勾選AliyunBailianFullAccess，然後點擊確認新增授權。瞭解如何解除授權。

注意：系統管理權限 (全域管理）僅授予RAM使用者跨業務空間進行管理的資格，但不包括任何特定業務空間的訪問許可。如需訪問業務空間，須取得該空間的成員許可權。

移除成員

此操作將移除RAM使用者對指定業務空間的所有訪問和操作許可權，並使其在該空間內建立的 API Key 失效。該使用者在其他業務空間的許可權及建立的API Key不受影響。

操作步驟

重要

需主帳號操作。

在阿里雲百鍊控制台首頁（新加坡或北京）左下角，點擊表徵圖切換到目標業務空間。
在左側導覽列中，點擊許可權管理。找到目標RAM使用者，點擊其右側的刪除（注意：刪除按鈕僅對主帳號可見）。
在確認彈框中，點擊刪除。

常見問題

已具備系統管理權限，登入時提示“您沒有該業務空間許可權或業務空間不存在”？

AliyunBailianFullAccess系統策略的作用是讓RAM使用者能訪問系統管理（新加坡或北京）頁面，不包含任何業務空間的存取權限。如需訪問業務空間，須獲得該空間的成員許可權。

已加入目標業務空間，但在調用阿里雲百鍊API時仍報錯（如下所示），應如何處理？

{
  "AccessDeniedDetail": {
    "AuthAction": "sfm:XXXX",
    "AuthPrincipalType": "SubUser",
    ...
    "PolicyType": "AccountLevelIdentityBasedPolicy",
    "NoPermissionType": "ImplicitDeny",
    ...
  },
  "RequestId": "0A944043-F87D-5EAA-XXXX-2A6E51A6296C",
  "Message": "You are not authorized to perform this action.",
  "Code": "NoPermission",
  ...
}

該報錯表示您的帳號沒有此介面的API許可權。您可以單獨申請該介面的許可權，也可申請RAM系統策略（需包含該介面的許可權）。