授权RAM用户使用Function AI

前提条件

已创建RAM用户。

背景信息

您可以通过如下两种方式授予RAM用户使用Function AI的权限。

系统权限策略

1. 使用阿里云账号（主账号）或RAM管理员登录RAM控制台。

2. 为RAM用户授予以下列表权限，具体操作请参见为RAM用户授权。

   权限策略	描述
   AliyunRAMReadOnlyAccess	访问控制 RAM（Resource Access Management）的只读访问权限，即查看用户、用户组以及授权信息的权限。FunctionAI需要此权限检测当前账号下的角色和相应权限信息。
   AliyunFCFullAccess	管理函数计算（FC）服务的权限。图像生成功能需要此权限管理创建的函数资源。
   AliyunOSSReadOnlyAccess	只读访问对象存储服务（OSS）的权限。需要此权限查看您在OSS上的文件列表，将相关文件部署至FunctionAI平台。
   AliyunLogReadOnlyAccess	只读访问日志服务（Log）的权限。需要此权限查看您在FunctionAI上部署服务的日志信息。
   AliyunCloudMonitorReadOnlyAccess	只读访问云监控（CloudMonitor）的权限。需要此权限查看您在FunctionAI上部署服务的监控指标信息。
   AliyunDevsFullAccess	管理Serverless开发平台（Devs）的权限。
   AliyunFnFFullAccess	管理云工作流（FnF）服务的权限，流程服务需要此功能管理创建的工作流资源。
   AliyunNASReadOnlyAccess	只读访问文件存储服务（NAS）的权限，图像生成功能需要此权限获取您的NAS目录。
   AliyunVPCReadOnlyAccess	只读访问专有网络（VPC）的权限，图像生成功能需要此权限获取您的VPC信息。
   AliyunECSReadOnlyAccess	只读访问云服务器服务（ECS）的权限，图像生成功能需要此权限获取您的安全组相关信息。
   AliyunBSSReadOnlyAccess	只读访问费用与成本（BSS）的权限，部署数据库相关服务需要此权限获取您的账户余额。
   AliyunRDSReadOnlyAccess	只读访问云数据库服务（RDS）的权限，部署数据库服务需要此权限获取您的数据库部署信息。

自定义权限策略

1. 使用阿里云账号（主账号）或RAM管理员登录RAM控制台。

2. 创建一个自定义权限策略，您可以授予RAM用户使用FunctionAI的读写权限。

   其中在脚本编辑页签，请使用以下脚本替换配置框中的原有内容。具体操作，请参见创建自定义权限策略。

   {
     "Version": "1",
     "Statement": [
       {
         "Action": [
           "ram:Get*",
           "ram:List*",
           "ram:GenerateCredentialReport"
         ],
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": "devs:*",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": "ram:PassRole",
         "Resource": "*",
         "Effect": "Allow",
         "Condition": {
           "StringEquals": {
             "acs:Service": "devs.aliyuncs.com"
           }
         }
       },
       {
         "Action": "fnf:*",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": "bss:DescribeAcccount",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": [
           "log:Get*",
           "log:List*",
           "log:Query*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": [
           "oss:Get*",
           "oss:List*"
         ],
         "Effect": "Allow",
         "Resource": "*"
       },
       {
         "Action": [
           "cms:Get*",
           "cms:List*",
           "cms:Query*",
           "cms:Describe*"
         ],
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": [
           "fc:Get*",
           "fc:List*",
           "fc:PutConcurrencyConfig",
           "fc:DeleteConcurrencyConfig",
           "fc:PutProvisionConfig"
         ],
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": "vpc:Describe*",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": "nas:Describe*",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": "ecs:DescribeSecurityGroup*",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": "rds:DescribeDBInstances",
         "Resource": "*",
         "Effect": "Allow"
       }
     ]
   }

3. 为RAM用户添加上一步创建的自定义权限策略。具体操作，请参见为RAM用户授权。

更多信息

如果RAM用户只需要使用图像生成功能，可以只授权RAM用户使用图像生成项目相关权限。