首次使用大模型應用開發(LangStudio),需要對LangStudio服務角色進行雲資源訪問授權,並開通依賴的雲產品服務。本文介紹LangStudio依賴的雲產品服務和使用LangStudio時所需的授權操作。
簡介
使用LangStudio前,您需要先為操作帳號授權使用LangStudio功能的通用許可權,使帳號能夠操作使用LangStudio功能。如果您需要對不同的RAM使用者進行不同的許可權細分管控,PAI也支援您通過工作空間對RAM使用者進行LangStudio操作許可權的細化管控。此外,LangStudio會在後台使用Object Storage Service進行檔案儲存體,使用Log ServiceSLS和可觀測鏈路OpenTelemetry版進行應用流的開發調試,以及使用PAI的子產品EAS進行應用流的部署,因此,需要您授權LangStudio服務帳號對以上產品的存取權限。授權操作詳情,請參見下文的操作指導。
操作帳號授權
在使用LangStudio時,依賴以下相關雲產品,您需要做好授權操作。
PAI子產品:LangStudio
操作帳號類型
使用情境
操作引導連結
主帳號
主帳號可直接進行LangStudio的所有操作,無需額外授權。
不涉及
RAM帳號
(推薦)
PAI為您提供了不同的成員角色,您可根據需要將RAM使用者添加為對應角色的工作空間成員,使其擁有對應子產品的操作許可權。各角色的許可權詳情可前往角色及許可權列表-LangStudio查看。
Object Storage Service:用於儲存您在開發大模型應用流時使用的代碼和設定檔,以及開發調試過程產生的日誌和部署服務的快照檔案。
細分情境
情境說明
操作引導連結
開通OSS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通OSS,您需要給RAM帳號授予AliyunOSSFullAccess許可權。
開通:控制台快速入門
給RAM使用者授權:RAM Policy
常見操作:控制台快速入門
使用OSS
後續使用OSS時:
授權:OSS提供了詳細的RAM管控策略,您可根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要建立好一個儲存空間(Bucket),便於後續上傳檔案至OSS。
可觀測鏈路OpenTelemetry版:用於大模型工作流程開發和部署服務的日誌鏈路追蹤。
細分情境
情境說明
操作引導連結
開通可觀測鏈路OpenTelemetry版
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通可觀測鏈路,您需要給RAM帳號授予AliyunARMSFullAccess許可權。
開通:快速入門
給RAM使用者授權:藉助RAM使用者實現分權
使用可觀測鏈路OpenTelemetry版
您可以在LangStudio控制台查看開發調試或部署服務產生的鏈路追蹤日誌,也可以前往可觀測鏈路 OpenTelemetry 版控制台進行查看。
Log ServiceSLS(間接依賴,為可觀測鏈路OpenTelemetry版所需):用於可觀測鏈路OpenTelemetry版儲存日誌資料。
細分情境
情境說明
操作引導連結
開通Log ServiceSLS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通SLS,您需要給RAM帳號授予AliyunLogFullAccess許可權。
開通:儲存資源層級關係說明
給RAM使用者授權:建立RAM使用者及授權
Virtual Private Cloud:在應用流的運行或部署過程中,系統需要查詢您的Virtual Private Cloud配置資訊,以便正確部署EAS服務。
細分情境
情境說明
操作引導連結
開通Virtual Private Cloud
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通Virtual Private Cloud,您需要給RAM帳號授予AliyunVPCFullAccess許可權。
開通:建立和管理專用網路
給RAM使用者授權:使用RAM進行存取控制
PAI:用於訪問PAI工作空間及PAI子產品。
細分情境
情境說明
操作引導連結
開通人工智慧平台PAI
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通PAI,您需要給RAM帳號授予AliyunPAIFullAccess許可權。
給RAM使用者授權:RAM角色登入並使用PAI
DataWorks:知識庫的定時調度更新依賴於DataWorks。如需使用該功能,請開通DataWorks服務並為操作帳號賦予相應許可權。
細分情境
情境說明
操作引導連結
開通巨量資料開發治理平台DataWorks
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通DataWorks,您需要給RAM帳號授予AliyunDataWorksFullAccess許可權。
給RAM使用者授權:最佳實務:為RAM使用者授權指引
PAI服務帳號授權
為阿里雲帳號(主帳號)授權LangStudio通用許可權
首次開通LangStudio時,您需要為當前阿里雲帳號授權LangStudio通用許可權,以確保LangStudio正常提供服務。具體操作步驟如下:
登入PAI控制台,在右側選擇目標工作空間後,單擊進入LangStudio。
進行雲資源訪問授權。
單擊去授權。
在存取控制快速授權頁面,單擊確認授權,並按照介面提示進行安全驗證。
在存取控制快速授權頁面,系統自動設定LangStudio需要的關聯角色,無需手動設定。
使用LangStudio前,您需要單擊免費開通,開通Object Storage Service、Log Service(SLS)、可觀測鏈路OpenTelemetry版。
參考1:如何修改LangStudio服務角色的授權策略
請確保您對RAM權限原則有充分的認識,避免操作不當引起LangStudio功能不可用。
如果您需要對雲資源訪問授權進行更精細的管控,可以在RAM控制台對已授權的AliyunPAILangStudioDefaultRole角色進行自訂權限原則。下面以修改OSS的授權策略為例,說明如何對LangStudio預設服務角色進行更精細化的授權,具體操作步驟如下:
查看AliyunPAILangStudioDefaultRole預設權限原則。
登入RAM控制台,並在左側導覽列選擇。
在角色頁面的搜尋方塊中,輸入AliyunPAILangStudioDefaultRole進行搜尋,並單擊目標角色名稱。
在許可權管理頁面單擊權限原則名稱,查看並拷貝預設策略內容。
{ "Version": "1", "Statement": [ { "Action": [ "eas:CreateService", "eas:ListServices", "eas:DescribeService", "eas:DeleteService", "eas:UpdateService", "eas:StartService", "eas:StopService" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListObjects" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "paillmtrace:GetXtraceToken" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "paidlc:CreateJob", "paidlc:DeleteJob", "paidlc:StopJob", "paidlc:GetJob", "paidlc:UpdateJob", "paidlc:ListJobs" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "paidsw:CreateInstance", "paidsw:DeleteInstance", "paidsw:UpdateInstance", "paidsw:StartInstance", "paidsw:StopInstance", "paidsw:GetInstance", "paidsw:ListInstances" ], "Resource": "*", "Effect": "Allow" }, { "Action": "pai:AssumeUser", "Resource": "acs:pai:*:*:users/*", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "eas.pai.aliyuncs.com" } } }, { "Action": [ "dataworks:CreateWorkflowDefinition", "dataworks:UpdateWorkflowDefinition", "dataworks:GetWorkflowDefinition", "dataworks:ListWorkflowDefinitions", "dataworks:DeleteWorkflowDefinition", "dataworks:CreateDeployment", "dataworks:GetDeployment", "dataworks:ExecDeploymentStage", "dataworks:GetJobStatus", "dataworks:ImportWorkflowDefinition" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "paiflow:CreatePipelineRun", "paiflow:GetPipelineRun", "paiflow:DeletePipelineRun", "paidataset:CreateDataset", "paidataset:GetDataset", "paidataset:UpdateDataset", "paidataset:ListDatasets", "paidataset:DeleteDataset", "paidataset:CreateDatasetVersion", "paidataset:GetDatasetVersion", "paidataset:UpdateDatasetVersion", "paidataset:DeleteDatasetVersion", "paidataset:ListDatasetVersions" ], "Resource": "*", "Effect": "Allow" } ] }
權限原則內容可根據上述拷貝的預設策略內容進行修改。例如,修改OSS授權策略內容,修改為通過RAM的Condition屬性指定可訪問的OSS Bucket,樣本內容如下(實際使用時需移除所有的注釋):
{ "Version": "1", "Statement": [ //其他授權策略,不要修改 //修改OSS授權策略,通過指定Tag限定授權訪問的OSS資源 { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListObjects" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "oss:BucketTag/Product": "PaiLangStudio" } } } ] }說明OSS支援對Bucket打標籤,您可以對授權LangStudio訪問的Bucket打上標籤(Key-Value索引值對),例如Key:Product, Value:PaiLangStudio。具體操作,請參見管理儲存空間標籤。
名稱配置為CustomAliyunPAILangStudioDefaultRolePolicy。
將新建立的自訂權限原則CustomAliyunPAILangStudioDefaultRolePolicy添加到AliyunPAILangStudioDefaultRole角色,並解除該角色預設的授權策略AliyunPAILangStudioDefaultRolePolicy。具體操作,請參見為RAM角色授權和為RAM角色移除許可權。
更新成功後,LangStudio則會按照新增的授權策略訪問您的資源。
參考2:檢查帳號是否關聯AliyunPAILangStudioDefaultRole角色
您可以按照以下操作步驟,來確認當前阿里雲帳號是否擁有AliyunPAILangStudioDefaultRole這一角色。
僅主帳號可以進行授權,RAM使用者無法授權。
登入RAM控制台,在左側導覽列,單擊身份管理 > 角色。
在角色頁面的搜尋方塊中,輸入AliyunPAILangStudioDefaultRole,進行搜尋。
如果搜尋到了該角色,則表示已經授權了LangStudio服務角色。
如果沒有搜尋到該角色,則需進行授權操作。具體操作,請參見為阿里雲帳號(主帳號)授權LangStudio通用許可權。