PAI-Studio与DataWorks共享项目空间,如果使用RAM用户创建MaxCompute或PAI-Studio项目,则需要为其进行授权。此外,PAI产品安全升级,支持更安全地访问OSS数据,您可以通过自定义策略灵活定义RAM用户在PAI控制台中对OSS数据的访问权限。本文介绍PAI-Studio涉及的授权的具体步骤。

为RAM用户授予DataWorks和MaxCompute操作权限

  1. 登录RAM控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 授权。
    1. 用户页面,单击操作列下的添加权限
    2. 可选:添加权限面板,单击自定义策略
    3. 选择权限下的文本框,输入AliyunDataWorksFullAccess
    4. 单击权限策略名称下的AliyunDataWorksFullAccess,使其显示在已选择列表中。
    5. 单击确定
  4. 创建AccessKey。
    1. 用户页面,单击用户登录名称
    2. 在用户基本信息页面的用户AccessKey区域,单击创建AccessKey
  5. 使用阿里云账号登录DataWorks,为RAM用户配置MaxCompute项目权限,详情请参见添加工作空间成员和角色

为PAI-Studio授予OSS访问权限

PAI-Studio支持OSS存储,需要阿里云账号对服务关联角色进行授权。

  1. 登录PAI控制台
  2. 在PAI控制台首页,选择模型开发和训练 > Studio-可视化建模
  3. PAI可视化建模页面,单击操作列下的进入机器学习
  4. 在PAI-Studio控制台首页,选择设置 > 基本设置
  5. 基本设置页面的OSS访问授权区域,选中授权机器学习读取我的OSS中的数据复选框,其他参数采用默认配置。

通过自定义策略为RAM用户授予OSS访问权限

PAI产品安全升级,支持更安全地访问OSS数据,您可以通过自定义策略灵活定义RAM用户在PAI控制台中对OSS数据的访问权限。

  1. 进入新建自定义权限策略页面。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择权限管理 > 权限策略管理
    3. 权限策略管理页面,单击创建权限策略
  2. 新建自定义权限策略页面,配置参数。
    参数 描述
    策略名称 建议根据实际需要的权限点和业务命名策略。
    备注 描述信息,便于区分各权限策略。
    配置模式 单击脚本配置
    策略内容 OSS提供了完整的数据权限管控体系,完整的OSS授权策略请参见RAM Policy概述
    注意 请根据RAM用户需要使用的权限,谨慎定义权限策略。
    在PAI控制台上使用OSS通常涉及列出自己已有权限的Bucket、读写数据等常规操作,建议阿里云账号参考如下自定义权限策略为需要在PAI控制台上操作的RAM用户进行权限配置。
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "oss:GetObject",
            "oss:ListObjects",
            "oss:DeleteObject",
            "oss:ListParts",
            "oss:PutObject",
            "oss:AbortMultipartUpload",
            "oss:GetBucketCors",
            "oss:GetBucketCors",
            "oss:DeleteBucketCors"
          ],
          "Resource": [
            "acs:oss:*:*:<yourBucketName>",
            "acs:oss:*:*:<yourBucketName>/*"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "oss:ListBuckets"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    上述自定义策略中的<yourBucketName>需要替换为被授权的Bucket名称。
  3. 单击确定

为PAI-Studio授予GPU资源权限

PAI-Tensorflow底层使用GPU计算资源,需要为PAI-Studio授予GPU计算资源权限。

  1. 登录PAI控制台
  2. 在PAI控制台首页,选择模型开发和训练 > Studio-可视化建模
  3. PAI可视化建模页面,打开开启GPU开关。GPU开关