全部產品
Search

搜尋本產品

    OpenSearch:建立RAM使用者並授權

    文件中心

    OpenSearch:建立RAM使用者並授權

    更新時間:Aug 06, 2025

    當您的企業存在多使用者協同訪問服務的情境時,您可以建立多個RAM使用者並按需為其分配最小許可權,避免多使用者共用阿里雲帳號(主帳號)密碼或存取金鑰,從而降低企業的安全風險。

    使用情境

    以下兩種情境需要建立RAM使用者,並授予業務需要的最小化操作許可權

    • RAM使用者以API/SDK調用AI搜尋開放平台服務時,以AccessKey實現調用者身份鑒權。

    • RAM使用者通過AI搜尋開放平台使用工作台功能,常見情境如:

      • 授予RAM使用者建立工作空間的許可權,授予RAM使用者開通AI搜尋開放平台的許可權。

      • 授予RAM使用者管理API Key的許可權。

        重要

        AI搜尋開放平台中,API Key存在於獨立的工作空間,如果用RAM使用者擷取了某個工作空間的API Key(API Key處於啟用狀態),然後將API Key配置在調用服務的代碼中,則該使用者即可通過API/SDK調用工作空間下的所有服務,無需再單獨授權。

      • 授予RAM使用者通過體驗中心快速體驗文檔解析、切片等服務的許可權。

      • 授予RAM使用者對RAG鏈路進行效果評測

    權限原則

    系統權限原則

    系統權限原則統一由阿里雲建立,使用者只能使用,不能修改,策略的版本更新由阿里雲維護。AI搜尋開放平台提供以下兩種系統權限原則:

    • AliyunOpenSearchFullAccess:管理OpenSearch(OpenSearch)服務的許可權。此權限原則包含許可權點列表中的所有許可權,謹慎為RAM使用者授予此權限原則。

    • AliyunOpenSearchReadOnlyAccess:唯讀訪問OpenSearch(OpenSearch)服務的許可權。此策略許可權包含許可權點列表中的所有管控API許可權列表(List、Describe)讀許可權和流量API許可權列表中的所有許可權。

    自訂權限原則

    自主建立權限原則,實現許可權精細化管理。

    許可權點列表

    管控API許可權列表

    操作類別

    API

    RAM Action

    Resource

    描述

    工作空間

    CreateWorkspace

    searchplat:WriteWorkspace

    workspaces/*

    建立工作空間以及開通AI搜尋開放平台。

    說明

    AI搜尋開放平台可免費開通,不使用不計費。

    UpdateWorkspace

    searchplat:WriteWorkspace

    workspaces/{workspaceName}

    修改工作空間

    GetWorkspace

    searchplat:DescribeWorkspace

    workspaces/{workspaceName}

    擷取工作空間詳情

    ListWorkspaces

    searchplat:ListWorkspaces

    workspaces/*

    擷取工作空間列表

    ListServices

    searchplat:ListServices

    workspaces/{workspaceName}

    擷取服務列表

    訪問憑證

    CreateCredentials

    searchplat:WriteCredentials

    workspaces/{workspaceName}

    建立訪問憑證

    DeleteCredentials

    searchplat:WriteCredentials

    workspaces/{workspaceName}

    刪除訪問憑證

    UpdateCredentials

    searchplat:WriteCredentials

    workspaces/{workspaceName}

    修改訪問憑證

    GetCredentials

    searchplat:DescribeCredentials

    workspaces/{workspaceName}

    擷取訪問憑證詳情

    ListCredentials

    searchplat:DescribeCredentials

    workspaces/{workspaceName}

    擷取訪問憑證列表

    計算剩餘免費額度次數

    GetMeasure

    searchplat:DescribeMeasure

    workspaces/{workspaceName}

    擷取工作空間剩餘免費服務額度。

    說明

    • 新使用者開通AI搜尋開放平台後,系統為每個阿里雲帳號(阿里雲帳號也稱為主帳號,主帳號和子帳號共用免費額度)提供10次免費服務調用額度,單擊立即開通體驗模型服務。

    • 超出10次免費額度後,系統按實際模型服務調用量計費。

    體驗資料

    CreateExperienceData

    searchplat:WriteExperienceData

    workspaces/{workspaceName}

    添加體驗資料

    DeleteExperienceData

    searchplat:WriteExperienceData

    workspaces/{workspaceName}

    刪除體驗資料

    GetExperienceData

    searchplat:DescribeExperienceData

    workspaces/{workspaceName}

    擷取體驗資料詳情

    ListExperienceData

    searchplat:DescribeExperienceData

    workspaces/{workspaceName}

    擷取體驗資料列表

    非同步任務

    CreateAsyncTask

    searchplat:WriteAsyncTask

    workspaces/{workspaceName}

    建立文檔體驗資料解析非同步任務

    GetAsyncTask

    searchplat:DescribeAsyncTask

    workspaces/{workspaceName}

    查看文檔體驗資料解析非同步任務詳情

    ListAsyncTasks

    searchplat:DescribeAsyncTask

    workspaces/{workspaceName}

    查看文檔體驗資料解析非同步工作清單

    效果測評

    CreateRagEvaluatorTask

    searchplat:WriteEvaluation

    workspaces/{workspaceName}

    建立評測任務

    GetRagEvaluatorTask

    searchplat:DescribeEvaluation

    workspaces/{workspaceName}

    擷取評測任務詳情

    ListRagEvaluatorTasks

    searchplat:DescribeEvaluation

    workspaces/{workspaceName}

    擷取評測工作清單

    DeleteRagEvaluatorTask

    searchplat:WriteEvaluation

    workspaces/{workspaceName}

    刪除評測任務

    模型服務

    CreateFunctionInstance

    searchplat:WriteFunction

    workspaces/{workspaceName}

    建立服務/模型

    CreateFunctionTask

    workspaces/{workspaceName}

    立即啟用服務配置

    UpdateFunctionInstance

    workspaces/{workspaceName}

    更改服務/模型配置

    DeleteFunctionInstance

    workspaces/{workspaceName}

    刪除服務/模型配置

    ListFunctionInstances

    searchplat:DescribeFunction

    workspaces/{workspaceName}

    擷取服務/模型配置詳情列表

    GetFunctionInstance

    workspaces/{workspaceName}

    擷取服務/模型配置詳情

    GetTableFields

    searchplat:GetTableFields

    workspaces/{workspaceName}

    擷取MaxCompute表結構

    模型服務-服務部署

    ListFunctionRestrictions

    searchplat:ListFunctionRestrictions

    workspaces/{workspaceName}

    擷取功能限制項,包含可部署地區、模型類別、模型類型、模型。

    流量API許可權列表

    API

    Action

    Resource

    描述

    GetTextEmbedding

    searchplat:GetTextEmbedding

    workspaces/{workspaceName}

    文本向量化服務

    GetTextSparseEmbedding

    searchplat:GetTextSparseEmbedding

    workspaces/{workspaceName}

    文本稀疏向量化服務

    CreateDocumentAnalyzeTask

    searchplat:CreateDocumentAnalyzeTask

    workspaces/{workspaceName}

    建立非同步請求文檔解析服務

    DescribeDocumentAnalyzeTask

    searchplat:DescribeDocumentAnalyzeTask

    workspaces/{workspaceName}

    擷取非同步請求文檔解析結果服務

    GetDocumentAnalysis

    searchplat:GetDocumentAnalysis

    workspaces/{workspaceName}

    擷取同步文檔解析結果服務

    CreateImageAnalyzeTask

    searchplat:CreateImageAnalyzeTask

    workspaces/{workspaceName}

    建立非同步請求圖片解析服務

    DescribeImageAnalyzeTask

    searchplat:DescribeImageAnalyzeTask

    workspaces/{workspaceName}

    擷取非同步請求圖片解析結果服務

    GetImageAnalysis

    searchplat:GetImageAnalysis

    workspaces/{workspaceName}

    擷取同步圖片解析結果服務

    GetDocumentSplit

    searchplat:GetDocumentSplit

    workspaces/{workspaceName}

    文檔切片服務

    GetDocumentRank

    searchplat:GetDocumentRank

    workspaces/{workspaceName}

    排序服務

    GetTextGeneration

    searchplat:GetTextGeneration

    workspaces/{workspaceName}

    內容產生大模型服務

    GetQueryAnalysis

    searchplat:GetQueryAnalysis

    workspaces/{workspaceName}

    查詢分析服務

    GetEmbeddingTuning

    searchplat:GetEmbeddingTuning

    workspaces/{workspaceName}

    向量微調服務

    GetWebSearch

    searchplat:SearchWeb

    workspaces/{workspaceName}

    連網搜尋

    GetMultiModalEmbedding

    searchplat:GetMultiModalEmbedding

    workspaces/{workspaceName}

    多模態向量化服務

    操作步驟

    步驟一:建立RAM使用者

    RAM使用者是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程式一一對應。RAM使用者具備以下特點:

    • RAM使用者由阿里雲帳號(主帳號)或具有管理員權限的其他RAM使用者、RAM角色建立,建立成功後,歸屬於該阿里雲帳號,它不是獨立的阿里雲帳號。

    • RAM使用者不擁有資源,不能獨立計量計費,由所屬的阿里雲帳號統一付費。

    • RAM使用者必須在獲得授權後,才能登入控制台或使用API訪問阿里雲帳號下的資源。

    • RAM使用者擁有獨立的登入密碼或AccessKey。

    • 一個阿里雲帳號下可以建立多個RAM使用者,對應企業內的員工、系統或應用程式。

    如何建立RAM使用者請參見建立RAM使用者

    步驟二:建立自訂權限原則

    參照常見最小化許可權組合樣本,從許可權點列表中選擇許可權點組合成業務最小化權限原則,建立自訂授權策略請參見建立自訂權限原則

    步驟三:授權RAM使用者

    為RAM使用者授予RAM的系統策略或自訂策略後,RAM使用者就能以策略中對應的許可權訪問阿里雲資源。建議您遵循最小化原則,按需授予RAM使用者必要的許可權。如何授權請參見為RAM使用者授權

    說明

    對RAM使用者佈建或更新許可權配置後,延遲5分鐘後生效。

    常見最小化許可權組合樣本

    樣本1:允許RAM使用者查看工作空間列表、查看服務剩餘免費額度次數、在default空間中調用文檔切片服務,對應的授權策略如下:

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "searchplat:ListWorkspaces",
            "Resource": "acs:searchplat:*:*:workspaces/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "searchplat:DescribeWorkspace",
                "searchplat:GetDocumentSplit",
                "searchplat:DescribeMeasure"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/default"
        }
    ]
}

    樣本2:允許RAM使用者查看工作空間列表、查看服務剩餘免費額度次數,在default空間中管理API Key、調用文檔切片服務。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "searchplat:ListWorkspaces"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/*"
        },
        {
            "Effect": "Allow",
           "Action": [
                "searchplat:DescribeWorkspace",
                "searchplat:WriteCredentials",
                "searchplat:GetDocumentSplit",
                "searchplat:DescribeCredentials",
                "searchplat:DescribeMeasure"
            ],
            "Resource": "acs:searchplat:*:*:workspaces/default"
        }
    ]
}