全部产品
云市场

EAS权限管理说明

更新时间:2020-06-15 18:14:45

一、EAS 权限说明

EAS中涉及的权限点名称及定义如下:

权限点类型 权限点名称 权限点内容
模型服务权限 eas:EditInstance 写权限:创建、更新、删除模型服务
eas:ListInstance 列举权限:控制台概览页可列出模型服务
eas:ReadInstance 读权限:查看模型服务的监控、日志、服务地址、在线调试
eas:OperateInstance 操作权限:停止/启动模型服务/切换流量
资源组权限 eas:ListResourceGroup 列举权限:控制台概览页可列出资源组;部署服务时能列出资源组,并可使用
eas:ReadResourceGroup 读权限:进入并查看资源组详情页信息:包含具体机器数量型号和服务状态等
eas:OperateResourceGroup 操作权限:新建(购买),删除,续费(后付费资源组),扩容,缩容(后付费资源组),开通/关闭资源组的VPC直连功能

二、EAS 授权方式

如果想允许子账号在控制台进行模型服务或者资源组的相关操作,主账号需要在阿里云访问控制中心对子账号授权。
阿里云访问控制地址:https://www.aliyun.com/product/ram

授权分两步:

第一步,自定义想要授权的权限策略(权限策略的释义见下方灰色引言);
第二步,将该自定义权限策略授权给某个子账号。

  • 权限策略是阿里云对子账号进行授权的基本单位。
  • 权限策略是上文表格中权限点的父概念,即一个权限策略中可能包括单个或多个上文表格中的权限点
  • 权限策略有自己的名称,主账号根据权限策略名称区分,并进行子账号的权限策略授权。
  • 阿里云提供两种权限策略,一是阿里云的系统权限策略(即通用的权限策略),二是用户自定义的权限策略(即通用的系统权限策略满足不了的,用户根据特定阿里云产品的具体需求,进行自定义)。EAS的权限策略属于第二种,需要用户自定义。

1、自定义权限策略

EAS的权限策略属于特定产品的权限策略,非阿里云通用的系统权限策略。因此需要用户先进行权限策略定义。

首先进入“权限策略管理”,选择“新建权限策略”,选择脚本模式:

image.png
image.png

随后您可以在此定义权限策略及配置权限策略的名称以方便后续识别并授权。请按照子账号需要用到的权限谨慎进行权限策略定义,权限点名称可参考上文EAS权限点表格。一个权限策略中可以包括单个或多个权限点

例如需要定义包含“子账号模型服务读权限点”和“子账号模型服务写权限点”的权限策略,可以进行如下操作。可以将该权限策略命名为:Model_R&W。那么以后主账号给子账号进行“Model_R&W”权限策略的授权后,子账号就同时拥有了模型服务的读和写权限点。

  1. {
  2. "Statement": [
  3. {
  4. "Effect": "Allow",
  5. "Action": [
  6. "eas:ReadInstance",
  7. "eas:EditInstance"
  8. ],
  9. "Resource": "*"
  10. }
  11. ],
  12. "Version": "1"
  13. }

2、授权给子账号

定义好权限策略后,就可以对子账号进行相应授权了。

进入“用户管理”,选择指定的子账号进行授权

image.png

选择自定义权限策略,并找到自己命名及定义的权限策略。选中进行授权。

image.png

三、其他注意事项

1、子账号新建购买资源组权限

对于资源组新建(购买)操作,子账号不仅需要授权eas:OperateResourceGroup, 还需要额外增加子账号的财务权限,否则子账号无法在购买资源组时下单付款。

财务权限:AliyunFinanceConsoleFullAccess为系统权限策略,无需按上文步骤自定义,可以直接授权。

阿里云访问控制地址:https://ram.console.aliyun.com/users,进入“用户管理”,选择指定的子账号进行授权

image.png

搜索AliyunFinanceConsoleFullAccess权限策略,点击“确定”授权。

image.png

2、子账号模型服务部署

如对子账号进行模型服务部署的操作能力授权,除去上文介绍的授权操作外,还需要手动绑定AccessKey到数加租户系统中。主账号在用户管理中查看需要授权的子账号的AccessKey,如果该子账号还没有AccessKey,可以点击创建新的AccessKey为子账号创建一个AccessKey,然后将该AccessKey信息告知子账号。

image.png

子账号登陆阿里云后,在数加控制台-个人信息中绑定自己的AccessKey,具体操作参考[https://help.aliyun.com/document_detail/74302.html?spm=a2c4g.11186623.6.595.2b0e29d0fLMPhp#title-ruv-odq-8wk)

操作完成后,子账号就可以在PAI-EAS控制台进行模型服务的创建等相关操作。