當您在DSW執行個體內訪問其他雲資源時,必須配置存取金鑰來驗證身份資訊。通過為DSW執行個體關聯RAM角色,執行個體即可使用該角色的STS臨時身份憑證訪問其他雲資源,無需再配置長期AccessKey,降低了密鑰泄露的風險。
什麼是執行個體RAM角色
執行個體RAM角色是為DSW執行個體提供的基於角色的臨時身份機制。當DSW執行個體被授予RAM角色後:
執行個體內進程可通過本地中繼資料服務或憑證檔案自動擷取短期有效STS憑證;
憑證具備該RAM角色所綁定的權限原則,可安全訪問OSS、MaxCompute、DLC等授權雲端服務;
徹底避免在代碼/配置中明文儲存AccessKey,滿足企業安全合規要求。
核心優勢如下:
安全保密:使用自動重新整理的STS臨時憑證替代長期AccessKey,杜絕密鑰寫入程式碼與泄露風險。
便捷可控:許可權集中管控於RAM角色策略:修改策略即刻生效,無需重啟執行個體或更新代碼。
天然可信:基於阿里雲STS服務簽發,憑證來源可信,無需額外鑒權中介軟體。
使用限制
一個DSW執行個體目前只能關聯一個RAM角色。
實施步驟
步驟一:為DSW執行個體配置RAM角色
在DSW執行個體配置頁面可選擇如下三種角色:
情境一:PAI預設角色
PAI為使用者提供了一個預設角色,授予該角色後,執行個體將自動獲得訪問以下資源的許可權,無需額外配置AccessKey:
通過ODPS SDK提交任務到執行個體所有者有執行許可權的MaxCompute專案中。
通過OSS SDK訪問當前工作空間配置的預設儲存路徑Bucket中的資料。
在WebIDE中使用通義靈碼服務。
通過PAI/DLC SDK建立訓練任務提交至當前工作空間。
情境二:自訂角色
登入RAM控制台,建立RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色。
其中,關鍵參數配置如下:
信任主體類型:雲端服務
信任主體名稱:人工智能平台PAI (pai.aliyun.cs.com)
為已建立的執行個體RAM角色授權。
單擊新增授權,將系統策略或者自訂權限原則授權給RAM角色,使其擁有相關的資源訪問或操作許可權,例如添加AliyunOSSFullAccess策略。詳情請參見步驟三:為RAM角色授權。
說明若您使用的是RAM子帳號操作DSW執行個體,請聯絡阿里主帳號建立如下權限原則,並授權給您的RAM子帳號,使子帳號具有使用該執行個體RAM角色的許可權。
需要建立的權限原則請參見如下代碼,其中,需要將
${RoleName}替換為DSW執行個體RAM角色的名稱。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram::*:role/${RoleName}" } ] }
情境三:不關聯RAM角色
如果您的執行個體設定為工作空間公開可見,建議不要為執行個體關聯RAM角色,避免許可權泄露。您可以在建立執行個體或變更執行個體配置時,將高级信息地區的实例RAM角色設定為不关联角色。
更新已有執行個體RAM角色配置
進入DSW頁面。
登入PAI控制台,選擇目標地區和工作空間。
在左側導覽列選擇模型开发与训练 > 交互式建模(DSW),進入DSW頁面。
單擊DSW執行個體右側的变更配置。
在角色与权限地區配置執行個體RAM角色。
重要當執行個體RAM由PAI默认角色/自定义角色切換為不关联角色,或由不关联角色切換為PAI默认角色/自定义角色時,如果執行個體正在運行中,更新操作會立即重啟執行個體。請確保您已及時儲存執行個體。
完成配置後,單擊确定。
步驟二:基於執行個體RAM角色擷取臨時訪問憑證
執行個體成功關聯RAM角色後,您可以在執行個體內部通過多種方式擷取並使用臨時憑證來訪問雲端服務。
方式一:通過Credentials工具擷取(推薦)
推薦使用阿里雲各語言SDK提供的Credentials工具,它會自動處理憑證的擷取和重新整理,是訪問雲端服務的最佳實務。
安裝依賴(以Python為例)
pip install alibabacloud_credentialsCredentials工具使用樣本:
from alibabacloud_credentials.client import Client as CredClient from alibabacloud_credentials.models import Config as CredConfig credentialsConfig = CredConfig( type='credentials_uri' # 選填。若您未配置其他“預設憑據鏈”訪問方式,您無需再顯式指定,Credentials SDK會通過uri方式擷取臨時憑證 ) credentialsClient = CredClient(credentialsConfig)
更多語言SDK樣本,請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。
方式二:直接存取DSW執行個體本地服務擷取
在DSW執行個體內,您可在Terminal執行如下命令,訪問本地自動注入的server直接擷取。
# 擷取執行個體RAM角色的臨時授權訪問憑證
curl $ALIBABA_CLOUD_CREDENTIALS_URI返回樣本如下,其中:
SecurityToken:執行個體RAM角色的臨時Token。
Expiration:執行個體RAM角色的臨時授權訪問憑證的有效期間。
{
"Code": "Success",
"AccessKeyId": "STS.N*********7",
"AccessKeySecret": "3***************d",
"SecurityToken": "DFE32G*******",
"Expiration": "2024-05-21T10:39:29Z"
}方式三:直接存取執行個體本地內檔案擷取
您可在DSW執行個體內訪問指定路徑的檔案(由PAI自動注入並周期性重新整理),擷取執行個體RAM角色的臨時訪問憑證。該檔案所在的路徑為/mnt/.alibabacloud/credentials,檔案內容如下:
{
"AccessKeyId": "STS.N*********7",
"AccessKeySecret": "3***************d",
"SecurityToken": "DFE32G*******",
"Expiration": "2024-05-21T10:39:29Z"
}步驟三:基於執行個體RAM角色訪問其他雲產品
樣本一:基於執行個體RAM角色訪問Object Storage Service
執行如下命令,安裝Credentials工具和OSS SDK。
# 安裝credentials工具 pip install alibabacloud_credentials # 安裝oss sdk pip install oss2使用執行個體RAM角色的臨時憑證訪問OSS,並列舉指定Bucket下的10個檔案。查詢OSS不同地區endpoint,請參見地區和Endpoint。
import oss2 from alibabacloud_credentials.client import Client from alibabacloud_credentials import providers from itertools import islice auth = oss2.ProviderAuth(providers.DefaultCredentialsProvider()) bucket = oss2.Bucket(auth, '<oss_endpoint>',#需替換為您的oss bucket所在region的endpoint '<oss_bucket>'#需替換為您的oss bucket名稱 ) for b in islice(oss2.ObjectIterator(bucket), 10): print(b.key)
樣本二:基於執行個體RAM角色訪問MaxCompute
執行如下命令,安裝Credentials工具和ODPS SDK。
# 安裝credentials工具 pip install alibabacloud_credentials # 安裝odps sdk pip install odps使用執行個體RAM角色的臨時憑證訪問MaxCompute,並擷取指定專案的table列表。查詢MaxCompute不同地區endpoint,請參見Endpoint。
from alibabacloud_credentials import providers from odps.accounts import CredentialProviderAccount from odps import ODPS if __name__ == '__main__': account = CredentialProviderAccount(providers.DefaultCredentialsProvider()) o = ODPS( account=account, project="<odps_project>", #需替換為您的project名稱 endpoint="<odps_endpoint>"#需替換為您的project所在region的endpoint ) for t in o.list_tables(): print(t)
樣本三:基於執行個體RAM角色訪問DLC
執行如下命令,安裝Credentials工具、OpenAPI SDK和DLC SDK。
# 安裝credentials工具 pip install alibabacloud_credentials # 安裝阿里雲openapi sdk pip install alibabacloud-tea-util alibabacloud_tea_openapi # 安裝pai-dlc sdk pip install alibabacloud_pai_dlc20201203使用執行個體RAM角色的臨時憑證訪問PAI-DLC,並列舉指定工作空間下的DLC任務。
from alibabacloud_credentials.client import Client as CredClient from alibabacloud_tea_openapi.models import Config from alibabacloud_pai_dlc20201203.client import Client as pai_dlc20201203Client from alibabacloud_pai_dlc20201203 import models as pai_dlc_20201203_models from alibabacloud_tea_util.models import RuntimeOptions # 使用Credentials工具初始化DLC client credentialsClient = CredClient() config = Config(credential=credentialsClient) config.endpoint = '<dlc_endpoint>' #需替換為您所在region的endpoint client = pai_dlc20201203Client(config) # 初始化請求,並調用ListJobs API list_jobs_request = pai_dlc_20201203_models.ListJobsRequest() list_jobs_request.workspace_id = '<workspace_id>' #需替換為您的工作空間ID runtime_options = RuntimeOptions() headers = {} resp = client.list_jobs_with_options(list_jobs_request, headers, runtime_options) jobs = resp.to_map()['body']['Jobs'] print(jobs[0])
常見問題
Q:選擇自訂角色時,建立執行個體報錯PassRoleFailedError,應如何解決?
登入RAM控制台,確認該角色是否存在。
若角色不存在,您需將執行個體RAM角色修改為已存在的角色。
若角色存在,您需聯絡主帳號,為您的子帳號授予使用該角色的許可權。權限原則如下(需將${RoleName}替換為RAM角色的名稱):
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram::*:role/${RoleName}" } ] }
Q:選擇自訂角色時,建立執行個體報錯AssumeRoleFailedError,應如何解決?
該問題的原因,一般由於是您的角色未配置信任策略。請按照如下步驟進行操作:
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇身份管理 > 角色。
在角色頁面,單擊目標RAM角色名稱。
在信任策略頁簽,單擊編輯信任策略。
修改信任策略內容,然後單擊確定。
例如,角色原始的信任策略為:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::aaa:root" ], "Service": [ "xxx.aliyuncs.com" ] } } ], "Version": "1" }新的策略需要修改為:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::aaa:root" ], "Service": [ "xxx.aliyuncs.com", "pai.aliyuncs.com" ] } } ], "Version": "1" }