PAI为您提供多个功能模块,并联合MaxCompute、DataWorks、Flink、DLC、OSS等阿里云产品为您提供一站式的机器学习解决方案。使用Designer进行建模时,您需要授予操作账号使用Designer功能所需的操作权限,同时需要授予PAI访问相关云产品的权限,以保障功能安全顺利地使用。本文为您介绍使用Designer时所需的授权操作。

前提条件

已创建工作空间,并为该工作空间按需绑定MaxCompute、DLC或Flink计算资源,详情请参见创建工作空间

背景信息

使用Designer依赖OSS,同时可能会依赖MaxCompute、Flink或DLC。您可以按照以下场景判断是否需要进行相关产品的授权。
  • MaxCompute:Designer中提供了上百种基于MaxCompute框架实现的阿里自研算法。
  • Flink:Designer中提供了可以在Flink执行的算法组件,例如:PyAlink脚本
  • OSS:训练过程中各种中间数据、训练模型需要依赖OSS进行存储。建议您提前做好开通和授权操作。
  • DLC:Designer中提供了基于DLC进行训练的深度学习算法,且自定义Python脚本V2组件也依赖DLC计算资源,推荐您在使用前进行开通和授权。
说明 您可以登录PAI控制台后单击全部云产品依赖查看各功能模块依赖的云产品及授权详情。
因此,使用Designer前,您需要授权操作账号对Designer、MaxCompute、DLC、Flink和OSS所需的操作权限,也需要授权PAI能够访问OSS。完整使用Designer的全部功能,可以按照以下链接进行授权。

操作账号授权:Designer

授权RAM账号或RAM角色能够操作Designer时,您需要将RAM账号或RAM角色在对应工作空间中添加算法开发算法运维管理员角色,操作详情请参见管理成员

操作账号授权:MaxCompute

授权RAM账号或RAM角色能够提交训练任务到工作空间关联的MaxCompute项目时,您需要将RAM账号或RAM角色在对应工作空间中添加MaxCompute开发角色,操作详情请参见管理成员

操作账号授权:DLC

授权RAM账号或RAM角色能够提交训练任务到工作空间关联的DLC资源组时,您需要将RAM账号或RAM角色在对应工作空间中添加算法开发算法运维管理员角色,操作详情请参见管理成员

操作账号授权:Flink

授权RAM账号或RAM角色能够操作Flink时,您需要为操作的RAM账号或RAM角色授予Flink项目空间的操作权限,操作详情请参见作业操作账号授权

操作账号授权:OSS

授权操作账号对OSS的操作权限时,支持通过自定义策略灵活定义RAM用户在PAI控制台中对OSS数据的访问权限,详细步骤如下。

  1. 登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 输入权限策略内容,然后单击下一步:编辑基本信息
    OSS提供了完整的数据权限管控体系,完整的OSS授权策略请参见RAM Policy概述
    注意 请根据RAM用户需要使用的权限,谨慎定义权限策略。
    在PAI控制台上使用OSS通常涉及列出自己已有权限的Bucket、读写数据等常规操作,建议阿里云账号参考如下自定义权限策略为需要在PAI控制台上操作的RAM用户进行权限配置。
    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "oss:GetObject",
            "oss:ListObjects",
            "oss:DeleteObject",
            "oss:ListParts",
            "oss:PutObject",
            "oss:AbortMultipartUpload",
            "oss:GetBucketCors",
            "oss:GetBucketCors",
            "oss:DeleteBucketCors"
          ],
          "Resource": [
            "acs:oss:*:*:<yourBucketName>",
            "acs:oss:*:*:<yourBucketName>/*"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "oss:ListBuckets"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    上述自定义策略中的<yourBucketName>需要替换为被授权的Bucket名称。
  6. 输入权限策略名称备注,并单击确定

PAI访问云产品授权:OSS

授权PAI访问相关云产品OSS时,PAI为您提供了一键授权入口,操作详情如下。

  1. 登录PAI控制台
  2. 在左侧导航栏单击全部云产品依赖,在Designer功能模块下找到OSS
  3. 操作列查看OSS的授权状态。
    • 如果还未授权,请单击操作列后的去授权,根据界面提示完成授权操作。
    • 如果已完成授权,可单击操作列后的查看授权信息,查看授权的详细信息。