首次使用PAI-DSW,需要对PAI-DSW服务关联角色进行云资源访问授权。此外,您需要根据业务需求为PAI-DSW服务关联角色授予NAS访问权限。本文介绍如何为PAI-DSW服务关联角色授权。

背景信息

使用DSW前,您需要先给操作账号授权操作使用DSW功能的通用权限,使得账号能够操作使用DSW功能,同时PAI也支持您自定义权限控制策略,对RAM用户进行DSW实例细化操作的权限控制。此外,使用DSW时,PAI会在后台对依赖的存储产品NAS进行存储等操作,所以您还需授权PAI能访问NAS。授权操作详情请参见下文的操作指导。

操作账号授权:DSW通用权限

为了确保PAI-DSW能够正常提供服务,您需要确认当前操作主账号拥有DSW通用权限,通常在开通并创建默认工作空间时,会统一进行授权操作,您可以根据下文参考:检查账号是否关联AliyunPAIDSWDefaultRole这一角色来检查当前账号是否已经具有DSW通用权限,如果没有,您可参考下文单独进行授权操作。

  1. 进入DSW页面。
    1. 登录PAI控制台
    2. 概览页面选择目标地域。
    3. 在左侧导航栏单击工作空间列表,在工作空间列表页面中单击待操作的工作空间名称,进入对应工作空间内。
    4. 在工作空间页面的左侧导航栏选择模型开发和训练 > 交互式建模(DSW),进入DSW页面。
  2. 授权AliyunPAIDSWDefaultRole角色。
    1. 单击创建实例
    2. 角色授权对话框,单击去授权
    3. 云资源访问授权页面,单击同意授权
      云资源访问授权页面,系统自动配置PAI-DSW需要的关联角色,无需手动配置。

操作账号授权:主账号授权RAM用户部分DSW实例操作权限

阿里云主账号可以授权RAM用户部分PAI-DSW实例细化的操作权限,包括创建、启动、停止及删除EAS实例。操作如下。

  1. 登录RAM控制台
  2. 创建自定义权限策略。
    1. 在左侧导航栏,选择权限管理 > 权限管理策略
    2. 权限管理策略页面,单击创建权限策略
    3. 创建权限策略页面,单击脚本编辑,输入策略内容,单击下一步
    4. 创建权限策略页面,配置参数。
      参数 描述
      策略名称 输入DSW_Notebook_Access
      备注 输入PAI-DSW访问策略
      策略内容 策略内容修改为如下内容。
      {
        "Statement": [
          {
            "Action": [
              "notebook:CreateInstance",
              "notebook:StartInstance",
              "notebook:StopInstance",
              "notebook:EditInstance",
              "notebook:ListInstance"
            ],
            "Effect": "Allow",
            "Resource": "*"
          }
        ],
        "Version": "1"
      }
      其中Action表示赋予的操作权限,可以包括以下权限:
      • notebook:CreateInstance:创建PAI-DSW实例。
      • notebook:StartInstance:开启PAI-DSW实例。
      • notebook:StopInstance:停止PAI-DSW实例。
      • notebook:EditInstance:编辑PAI-DSW实例。
      • notebook:ListInstance:查看所有PAI-DSW实例。
      Resource表示资源权限,配置方式包括:
      • 指定实例的地域权限
        "Resource": "acs:notebook:cn-beijing:*:notebook/*"
      • 为特定实例(例如hhdemo)赋予PAI-DSW的使用权限
        "Resource": "acs:notebook:*:*:notebook/hhdemo"
      • 为所有实例赋予PAI-DSW的使用权限
        "Resource": "*"
      如果需要配置更多权限,请参见权限策略基本元素
    5. 单击确定
  3. 为RAM用户授权细化的DSW操作权限。
    1. 在左侧导航栏,选择身份管理 > 用户
    2. 用户页面,单击操作列下的添加权限
    3. 可选:添加权限面板,单击自定义策略
    4. 选择权限下的文本框,输入DSW_Notebook_Access
    5. 单击权限策略名称下的DSW_Notebook_Access,使其显示在已选择列表中。
    6. 单击确定

PAI访问云产品授权:NAS

授权PAI访问相关云产品NAS时,PAI为您提供了一键授权入口,操作详情如下。

  1. 登录PAI控制台
  2. 在左侧导航栏单击全部云产品依赖,在DSW功能模块下找到NAS
  3. 操作列查看NAS的授权状态。
    • 如果还未授权,请单击操作列后的去授权,根据界面提示完成授权操作。
    • 如果已完成授权,可单击操作列后的查看授权信息,查看授权的详细信息。

参考:检查账号是否关联AliyunPAIDSWDefaultRole这一角色

为了确保PAI-DSW能够正常访问相关的云产品以为您提供服务,需要确认当前阿里云主账号拥有AliyunPAIDSWDefaultRole这一服务角色。

  1. 登录RAM控制台
  2. 在左侧导航栏,单击身份管理<角色
  3. 角色页面的搜索中,输入AliyunPAIDSWDefaultRole,进行搜索。
    • 如果搜索到了该角色,则表示已经授权了PAI-DSW服务角色。
    • 如果没有搜索到该角色,则进行授权授权