如果使用RAM用户管理模型服务或专属资源组,则需要阿里云账号对其授权。本文介绍如何为RAM用户授权PAI-EAS操作权限、财务权限、模型部署权限及OSS访问权限。

背景信息

PAI-EAS中涉及的权限点如下。
权限点类型 权限点名称 权限点内容
模型服务权限 eas:EditInstance 写权限,可以创建、更新及删除模型服务。
eas:ListInstance 列举权限。在PAI-EAS控制台概览页面,可以列举模型服务。
eas:ReadInstance 读权限,可以查看模型服务监控、日志、服务地址及在线调试。
eas:OperateInstance 操作权限,可以启动模型服务、停止模型服务及切换流量。
资源组权限 eas:ListResourceGroup 列举权限。在PAI-EAS控制台概览页面,可以列举资源组。部署服务时,可以列举并使用资源组。
eas:ReadResourceGroup 读权限,可以进入资源组详情页面,并查看资源组信息(包括服务器数量、型号及服务状态等)。
eas:OperateResourceGroup 操作权限,可以创建(购买)或删除资源组、续费(后付费资源组)、扩容或缩容(后付费资源组)及开通或关闭资源组的VPC直连功能。
权限策略的释义:
  • 权限策略是阿里云对RAM用户进行授权的基本单位。
  • 权限策略是权限点的父概念,即一个权限策略可以包括单个或多个权限点。
  • 阿里云账号根据权限策略名称区分不同的权限策略,并为RAM用户进行权限策略授权。
  • 阿里云支持系统权限策略(通用权限策略)和用户自定义权限策略(根据特定阿里云产品的具体需求,自定义策略)。PAI-EAS的权限策略属于自定义策略,需要用户自己定义。
由于PAI-EAS将OSS作为数据源,因此需要为RAM授予OSS访问权限,详情请参见通过自定义策略为RAM授予OSS访问权限。此外,针对不同的使用场景,需要再为RAM用户授予以下权限:

为RAM用户授权PAI-EAS操作权限

因为PAI-EAS的权限策略属于特定产品的权限策略,所以必须先创建自定义权限策略,再将其授权给RAM用户。

  1. 登录RAM控制台
  2. 创建自定义权限策略。
    1. 在左侧导航栏,选择权限管理 > 权限策略管理
    2. 权限策略管理页面,单击创建权限策略
    3. 新建自定义权限策略页面,配置参数。
      参数 描述
      策略名称 建议根据实际需要的权限点和业务命名策略。
      备注 描述信息,便于区分各权限策略。
      配置模式 单击脚本配置
      策略内容 参见PAI-EAS涉及的权限点,定义策略内容。一个权限策略可以包含单个或多个权限点。
      注意 请根据RAM用户需要使用的权限,谨慎定义权限策略。
      例如,定义RAM用户模型服务权限和资源组权限,可以配置策略名称Model&ResourceGroup,并配置策略内容如下。阿里云账号为RAM用户授权Model&ResourceGroup策略后,RAM用户就拥有了模型服务和资源组的所有权限。
      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "eas:ReadInstance",
                      "eas:ListInstance",
                      "eas:EditInstance",
                      "eas:OperateInstance",
                      "eas:ListResourceGroup",
                      "eas:ReadResourceGroup",
                      "eas:OperateResourceGroup"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    4. 单击确定
  3. 为RAM用户授权。
    1. 在左侧导航栏,选择人员管理 > 用户
    2. 用户页面,单击待授权RAM用户操作列下的添加权限
    3. 可选:添加权限面板,配置参数。
      参数 描述
      授权应用范围 单击整个云账号
      被授权主体 系统自动填入,通常无需修改。
      选择权限
      1. 单击自定义策略
      2. 在左侧权限策略名称列表,单击已定义的权限策略(例如Model_R&W),该策略会显示在右侧已选择列表。
    4. 单击确定

为RAM用户授权财务权限

如果RAM用户购买(创建)专属资源组,则不仅需要授权资源组的操作权限eas:OperateResourceGroup,而且需要授权财务权限AliyunFinanceConsoleFullAccess,否则RAM用户无法下单付款。因为财务权限为系统权限策略,所以无需自定义策略,直接进行授权即可。

  1. 登录RAM控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,单击待授权RAM用户操作列下的添加权限
  4. 添加权限面板,配置参数。
    参数 描述
    授权应用范围 单击整个云账号
    被授权主体 系统自动填入,通常无需修改。
    选择权限
    1. 单击系统策略
    2. 在左侧权限策略名称列表,单击AliyunFinanceConsoleFullAccess权限策略,该策略会显示在右侧已选择列表。
  5. 单击确定

为RAM用户授权模型服务部署权限

如果RAM用户管理模型服务部署,不仅需要为RAM用户授权自定义权限策略,而且还需要手动将RAM用户的AccessKey绑定至数加租户系统。阿里云账号可以先在用户管理中查看待授权RAM用户的AccessKey,再将该AccessKey告知RAM用户。

  1. 阿里云账号查看待授权RAM用户的AccessKey。
    1. 阿里云账号登录RAM控制台
    2. 在左侧导航栏,选择人员管理 > 用户
    3. 用户页面,单击待授权RAM用户用户登录名称/显示名称列下的用户名称。
    4. 在用户详细信息页面的用户AccessKey区域,查看RAM用户的AccessKey。
      子账号AccessKey如果待授权RAM用户没有AccessKey,则单击创建AccessKey为其创建一个。
  2. RAM用户在数加控制台的个人信息中,绑定自己的AccessKey,详情请参见更新个人信息

通过自定义策略为RAM用户授予OSS访问权限

PAI产品安全升级,支持更安全地访问OSS数据,您可以通过自定义策略灵活定义RAM用户在PAI控制台中对OSS数据的访问权限。

  1. 进入新建自定义权限策略页面。
    1. 登录RAM控制台
    2. 在左侧导航栏,选择权限管理 > 权限策略管理
    3. 权限策略管理页面,单击创建权限策略
  2. 新建自定义权限策略页面,配置参数。
    参数 描述
    策略名称 建议根据实际需要的权限点和业务命名策略。
    备注 描述信息,便于区分各权限策略。
    配置模式 单击脚本配置
    策略内容 OSS提供了完整的数据权限管控体系,完整的OSS授权策略请参见RAM Policy概述
    注意 请根据RAM用户需要使用的权限,谨慎定义权限策略。
    在PAI控制台上使用OSS通常涉及列出自己已有权限的Bucket、读写数据等常规操作,建议阿里云账号参考如下自定义权限策略为需要在PAI控制台上操作的RAM用户进行权限配置。
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "oss:GetObject",
            "oss:ListObjects",
            "oss:DeleteObject",
            "oss:ListParts",
            "oss:PutObject",
            "oss:AbortMultipartUpload",
            "oss:GetBucketCors",
            "oss:GetBucketCors",
            "oss:DeleteBucketCors"
          ],
          "Resource": [
            "acs:oss:*:*:<yourBucketName>",
            "acs:oss:*:*:<yourBucketName>/*"
          ],
          "Effect": "Allow"
        },
        {
          "Action": [
            "oss:ListBuckets"
          ],
          "Resource": "*",
          "Effect": "Allow"
        }
      ]
    }
    上述自定义策略中的<yourBucketName>需要替换为被授权的Bucket名称。
  3. 单击确定