本文描述人工智慧平台PAI支援的所有系統權限原則及其對應的許可權描述,供您授權RAM身份時參考。
什麼是系統權限原則
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。阿里雲存取控制(RAM)產品提供了兩種類型的權限原則:系統策略和自訂策略。系統策略統一由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。自訂策略由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。在產品迭代過程中,人工智慧平台PAI會向系統策略中添加新的許可權,用來支援新的功能和能力。系統策略的更新將會影響所有授予了該策略的RAM身份,包括RAM使用者、RAM使用者組和RAM角色。關於RAM權限原則的更多資訊,請參見權限原則概覽。
產品系統策略旨在協助使用者快速入門,僅需簡單配置即可通過控制台訪問該產品及其依賴產品。雖然系統策略包含的許可權同樣適用於OpenAPI或CLI等訪問方式,但為了提高安全性,我們推薦您在這些情境下使用自訂策略,按需授予人員及應用特定API的存取權限。
系統策略可進一步細分為產品系統策略、服務角色策略和服務關聯角色策略三類。部分雲產品僅提供三類策略中的一類或兩類,請以本文實際展示的策略類型為準。
產品系統策略
人工智慧平台(PAI)
資料集加速器(PAI-DatasetAcc)
模型線上服務(PAI-EAS)
服務關聯角色策略
AliyunServiceRolePolicyForPaiLangStudio
人工智慧平台PAI使用服務關聯角色AliyunServiceRoleForPaiLangStudio來訪問您在其他雲產品中的資源。AliyunServiceRolePolicyForPaiLangStudio是AliyunServiceRoleForPaiLangStudio專用的授權策略。本策略由人工智慧平台PAI定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
AliyunServiceRolePolicyForPAIABTest
PAIABTest使用服務關聯角色AliyunServiceRoleForPAIABTest來訪問您在其他雲產品中的資源。AliyunServiceRolePolicyForPAIABTest是AliyunServiceRoleForPAIABTest專用的授權策略。本策略由PAIABTest定義和使用,您不能修改或刪除,請勿將其授權給服務關聯角色之外的RAM身份。
授權操作參考
RAM身份預設沒有任何許可權,需要由阿里雲帳號管理員為其授權後才能訪問阿里雲帳號下的資源。為保證資源的資料安全,建議您遵循最小授權原則為允許訪問雲資源的身份授予恰好夠用的許可權。授權的詳細操作請參見: