PAI为您提供多个功能模块,并联合MaxCompute、DataWorks、Flink、DLC、OSS等阿里云产品为您提供一站式的机器学习解决方案。使用Designer进行建模时,您需要授予操作账号使用Designer功能所需的操作权限,同时需要授予PAI访问相关云产品的权限,以保障功能安全顺利地使用。本文为您介绍使用Designer时所需的授权操作。

前提条件

已创建工作空间,并为该工作空间按需绑定MaxCompute、DLC或Flink计算资源,详情请参见创建工作空间

背景信息

使用Designer依赖OSS,同时可能会依赖MaxCompute、Flink或DLC。您可以按照以下场景判断是否需要进行相关产品的授权。
  • MaxCompute:Designer中提供了上百种基于MaxCompute框架实现的阿里自研算法。
  • Flink:Designer中提供了可以在Flink执行的算法组件,例如:PyAlink脚本
  • OSS:训练过程中各种中间数据、训练模型需要依赖OSS进行存储。建议您提前做好开通和授权操作。
  • DLC:Designer中提供了基于DLC进行训练的深度学习算法,且自定义Python脚本V2组件也依赖DLC计算资源,推荐您在使用前进行开通和授权。
说明 您可以登录 PAI控制台后单击 全部云产品依赖查看各功能模块依赖的云产品及授权详情。
因此,使用Designer前,您需要授权操作账号对Designer、MaxCompute、DLC、Flink和OSS所需的操作权限,也需要授权PAI能够访问OSS。完整使用Designer的全部功能,可以按照以下链接进行授权。

操作账号授权:Designer

授权RAM账号或RAM角色能够操作Designer时,您需要将RAM账号或RAM角色在对应工作空间中添加算法开发算法运维管理员角色,操作详情请参见管理成员

操作账号授权:MaxCompute

授权RAM账号或RAM角色能够提交训练任务到工作空间关联的MaxCompute项目时,您需要将RAM账号或RAM角色在对应工作空间中添加MaxCompute开发角色,操作详情请参见管理成员

操作账号授权:DLC

授权RAM账号或RAM角色能够提交训练任务到工作空间关联的DLC资源组时,您需要将RAM账号或RAM角色在对应工作空间中添加算法开发算法运维管理员角色,操作详情请参见管理成员

操作账号授权:Flink

授权RAM账号或RAM角色能够操作Flink时,您需要为操作的RAM账号或RAM角色授予Flink项目空间的操作权限,操作详情请参见作业操作账号授权

操作账号授权:OSS

授权操作账号对OSS的操作权限时,支持通过自定义策略灵活定义RAM用户在PAI控制台中对OSS数据的访问权限,详细步骤如下。

  1. 登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 输入权限策略内容,然后单击继续编辑基本信息
    OSS提供了完整的数据权限管控体系,完整的OSS授权策略请参见 RAM Policy概述
    重要 请根据RAM用户需要使用的权限,谨慎定义权限策略。
    在PAI控制台上使用OSS通常涉及列出自己已有权限的Bucket、读写数据等常规操作,建议阿里云账号参考如下自定义权限策略为需要在PAI控制台上操作的RAM用户进行权限配置。 
    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "oss:GetObject",
        "oss:ListObjects",
        "oss:DeleteObject",
        "oss:ListParts",
        "oss:PutObject",
        "oss:AbortMultipartUpload",
        "oss:GetBucketCors",
        "oss:GetBucketCors",
        "oss:DeleteBucketCors"
      ],
      "Resource": [
        "acs:oss:*:*:<yourBucketName>",
        "acs:oss:*:*:<yourBucketName>/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "oss:ListBuckets"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}
    上述自定义策略中的 <yourBucketName>需要替换为被授权的Bucket名称。
  6. 输入权限策略名称备注,并单击确定

PAI访问云产品授权:OSS

授权PAI访问相关云产品OSS时,PAI为您提供了一键授权入口,操作详情如下。

  1. 登录PAI控制台
  2. 在左侧导航栏单击全部云产品依赖,在Designer功能模块下找到OSS
  3. 操作列查看OSS的授权状态。
    • 如果还未授权,请单击操作列后的去授权,根据界面提示完成授权操作。
    • 如果已完成授权,可单击操作列后的查看授权信息,查看授权的详细信息。