全部產品
Search

搜尋本產品

    Platform For AI:許可權管理

    文件中心

    Platform For AI:許可權管理

    更新時間:Jul 16, 2025

    使用PAI涉及兩方面的授權:RAM使用者授權(開通和使用雲產品)以及服務授權(PAI訪問其他阿里雲服務)。

    為RAM使用者授權

    主帳號無需額外授權,RAM使用者必須在獲得授權後,才能登入控制台或使用API訪問阿里雲帳號下的資源。本節介紹在PAI的使用情境下如何通過以下幾種方式給RAM使用者授權:

    授權RAM使用者開通PAI及購買PAI資源

    開通PAI及購買PAI資源需要為RAM使用者添加權限原則AliyunPAIFullAccess

    說明

    AliyunPAIFullAccess許可權範圍較大,建議您直接使用主帳號操作。

    授權RAM使用者使用PAI子產品

    PAI提供了通過工作空間系統管理權限的能力。可根據需要將RAM使用者添加為工作空間的成員,並給不同RAM帳號授予資源管理員(主帳號/通過RAM授權)工作空間管理員/負責人演算法開發演算法營運標註管理員訪客成員角色的許可權。各角色許可權請參見附錄:角色及許可權列表

    • iTAG還需參見iTAG人員分配進一步設定許可權。

    • EAS提供了產品系統策略為RAM使用者授權。例如:

      • EAS的系統管理權限:AliyunPAIEASFullAccess

      • EAS的唯讀許可權:AliyunPAIEASReadOnlyAccess

    • AI加速大部分功能,僅需擁有對應模型開發、訓練、推理的子產品操作許可權即可,無需額外授權。僅使用資料集加速時,RAM帳號操作需被授予AliyunPAIFullAccessAliyunDatasetAccFullAccess許可權。

    授權RAM使用者開通/使用其他雲產品

    使用PAI會涉及的部分其他雲產品見下表:

    單擊查看PAI依賴的雲產品

    PAI子產品

    依賴的雲產品

    iTAG

    OSS

    Designer

    OSS、MaxCompute、Flink

    DSW

    OSS、NAS、VPC

    DLC

    OSS、NAS、VPC

    自動機器學習(AutoML)

    OSS、MaxCompute

    EAS

    OSS、API Gateway、SLS、VPC、CloudMonitor

    LangStudio

    OSS、SLS、VPC、可觀測鏈路OpenTelemetry版

    AI資產管理

    ACR

    說明

    建議使用阿里雲主帳號開通其他雲產品(無需額外授權操作),通過RAM權限原則控制RAM帳號使用其他雲產品的許可權(詳見下表中RAM帳號使用授權)

    如果您的RAM使用者已添加為工作空間的成員,會根據設定的角色擁有其他雲產品的部分許可權。如果遇到開通或使用其他雲產品的許可權問題,可以參考下表進行授權操作。

    例如:使用RAM使用者登入開通OSS,需要給RAM使用者添加系統策略AliyunOSSFullAccess。如果使用OSS遇到許可權問題,可參考OSS RAM Policy為RAM授權。

    依賴的雲產品

    開通需要的權限原則

    RAM帳號使用授權

    操作引導

    OSS

    AliyunOSSFullAccess

    OSS RAM Policy

    MaxCompute

    AliyunBSSOrderAccess、AliyunDataWorksFullAccess

    在工作空間為RAM帳號添加MaxCompute開發角色,詳情請參見建立及管理工作空間

    Flink

    AliyunStreamFullAccess

    管理主控台授權

    開通:開通Realtime ComputeFlink版

    NAS

    AliyunNASFullAccess

    使用RAM權限原則控制NAS存取權限

    API Gateway

    AliyunApiGatewayFullAccess

    使用 RAM 管理 API

    SLS

    AliyunLogFullAccess

    SLS鑒權規則

    VPC

    AliyunVPCFullAccess

    VPC授權資訊

    CloudMonitor

    AliyunCloudMonitorFullAccess

    CloudMonitor授權資訊

    常見操作:步驟一:配置警示連絡人步驟二:配置警示規則

    可觀測鏈路OpenTelemetry版

    AliyunARMSFullAccess

    藉助RAM使用者實現分權

    開通:快速入門

    ACR

    AliyunContainerRegistryFullAccess

    ACR的RAM授權資訊

    常見操作:使用企業版執行個體構建鏡像

    授權PAI訪問其他雲產品

    通常在開通PAI時已完成授權。如果開通時有遺漏的授權操作,在後續的操作介面上會提示需要進行授權,按提示操作完成即可。您也可以參考以下步驟查看授權情況。以Designer訪問OSS為例:

    1. 登入PAI控制台

    2. 在左側導覽列單擊開通和授權 > 全部雲產品依賴,在Designer功能模組下找到OSS

    3. 操作列查看OSS的授權狀態。

      • 如果還未授權,請單擊操作列後的去授權,根據介面提示完成授權操作。

      • 如果已完成授權,可單擊操作列後的查看授權資訊,查看授權的詳細資料。

    PAI子產品訪問其他雲端服務通過普通服務角色和服務關聯角色兩種方式。當前全部雲產品依賴中沒有覆蓋所有的情況,您還可按需參見各子產品介紹:

    附錄

    為RAM使用者添加權限原則(如AliyunPAIFullAccess)

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇身份管理 > 使用者

    3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

      image

      您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。

    4. 添加許可權面板中,為RAM使用者添加許可權。其中:

      • 資源範圍:選擇帳號層級

      • 權限原則:選擇系統策略頁簽的AliyunPAIFullAccess權限原則。

        重要

        被授予該許可權的RAM使用者將擁有購買、建立、刪除各類資源以及全部工作空間的管理員權限,請謹慎使用。

        可以參見建立自訂權限原則為RAM使用者佈建最小可用的權限原則。

    5. 單擊確認新增授權

    6. 單擊關閉

    建立自訂權限原則

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 建立權限原則頁面,單擊指令碼編輯頁簽,配置以下權限原則內容(授予RAM使用者查看帳號下EAS所有模型服務列表的許可權)。

      重要

      請根據RAM使用者需要使用的許可權,謹慎定義權限原則。

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "eas:ListServices"
            ],
            "Resource": "*"
        }
    ]
}

    更多資訊,請參見通過指令碼編輯模式建立自訂權限原則