如果RAM用户需要使用PAI-EAS相关服务,则阿里云账号需要为该RAM用户授权。本文介绍如何为RAM用户授权。

背景信息

PAI-EAS提供以下三种授权方式,您可以结合业务需要进行选择:
  • 为RAM用户授予PAI-EAS的管理权限

    PAI-EAS提供系统策略AliyunPAIEASFullAccess,包含了PAI-EAS的管理权限。为RAM用户授予该权限后,RAM用户即可拥有使用PAI-EAS功能的完整权限。

  • 为RAM用户授予PAI-EAS的只读权限

    PAI-EAS提供系统策略AliyunPAIEASReadOnlyAccess,包含只读权限。为RAM用户授予该权限后,RAM用户即可查询、浏览已部署的PAI-EAS服务。

  • 为RAM用户进行精细化授权

    如果上述提供的两种系统策略不能满足您的需求,可以通过创建自定义权限策略的方式为RAM用户进行精细化授权。例如设置查询、修改已部署服务或专属资源组的权限。

为RAM用户授予PAI-EAS的管理权限

为RAM用户授予PAI-EAS的管理权限后,RAM用户即可拥有使用PAI-EAS功能的完整权限。

  1. 进入添加权限页面
  2. 添加权限面板,配置参数。
    参数 描述
    授权范围 单击整个云账号
    授权主体 系统自动填入,通常无需修改。
    选择权限
    1. 单击系统策略
    2. 在左侧权限策略名称列表,单击AliyunPAIEASFullAccess权限策略,该策略会显示在右侧已选择列表。
    说明 由于OSS权限为安全敏感权限,因此该权限不在AliyunPAIEASFullAccess中,如果RAM用户需要使用OSS,请单独为其进行OSS授权,详情请参见RAM策略编辑器
  3. 单击确定

为RAM用户授予PAI-EAS的只读权限

为RAM用户授予PAI-EAS的只读权限后,RAM用户即可查询、浏览已部署的PAI-EAS服务。

  1. 进入添加权限页面
  2. 添加权限面板,配置参数。
    参数 描述
    授权范围 单击整个云账号
    授权主体 系统自动填入,通常无需修改。
    选择权限
    1. 单击系统策略
    2. 在左侧权限策略名称列表,单击AliyunPAIEASReadOnlyAccess权限策略,该策略会显示在右侧已选择列表。
  3. 单击确定

进入添加权限页面

  1. 登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击待授权RAM用户操作列下的添加权限

为RAM用户进行精细化授权

如果需要详细的为RAM用户设置查询、修改已部署服务或专属资源组的权限,则需要按照如下步骤为RAM用户进行精细化授权。

  1. 登录RAM控制台
  2. 创建自定义权限策略,具体操作请参见创建自定义权限策略
    注意 请根据RAM用户需要使用的权限,谨慎定义权限策略。
    例如,配置策略名称为如下内容。
    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "eas:CreateInstance",
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "eas:DescribeService",
                    "eas:DeleteService",
                    "eas:UpdateService",
                    "eas:UpdateServiceVersion"
                ],
                "Resource": [
                    "acs:eas:<region>:<uid>:service/eas-m-xxx1",//示例,请参考下文的权限策略说明进行修改。
                    "acs:eas:<region>:<uid>:service/eas-m-xxx2"
                ],
            }
        ]
    }

    策略内容中的ActionResource取值详情,请参见下文的权限策略说明

  3. 为RAM用户授权。
    1. 在RAM控制台的左侧导航栏,选择身份管理 > 用户
    2. 用户页面,单击待授权RAM用户操作列下的添加权限
    3. 添加权限面板,配置参数。
      参数 描述
      授权范围 单击整个云账号
      授权主体 系统自动填入,通常无需修改。
      选择权限
      1. 单击自定义策略
      2. 在左侧权限策略名称列表,单击已创建的自定义权限策略,该策略会显示在右侧已选择列表。
    4. 单击确定

权限策略说明

权限策略中主要包含ActionResource两部分,其中Action表示要执行的操作,Resource表示要操作的对象。关于ActionResource的取值如下所示:
  • Action
    类别 Action 描述
    服务相关 eas:CreateService 创建模型服务
    eas:ListServices 查看模型服务列表
    eas:DescribeService 查看模型服务详情
    eas:DeleteService 删除模型服务
    eas:ListServiceInstances 查看模型服务实例信息
    eas:DeleteServiceInstances 重启模型服务实例
    eas:UpdateService 更新模型服务、增加版本
    eas:UpdateServiceVersion 切换模型服务版本
    eas:StartService 启动模型服务
    eas:StopService 停止模型服务
    eas:CreateServiceAutoScaler 开启模型服务自动扩缩容
    eas:DeleteServiceAutoScaler 关闭模型服务自动扩缩容
    eas:DescribeServiceAutoScaler 查看模型服务自动扩缩容状态
    eas:UpdateServiceAutoScaler 修改模型服务自动扩缩容配置
    eas:CreateServiceMirror 创建模型服务流量镜像
    eas:DescribeServiceMirror 查看模型服务流量镜像状态
    eas:UpdateServiceMirror 修改模型服务流量镜像配置
    eas:DeleteServiceMirror 关闭模型服务流量镜像
    eas:ReleaseService 配置蓝绿部署服务流量比例
    eas:DescribeServiceLog 查看模型服务日志信息
    资源组相关 eas:CreateResource 创建专属资源组
    eas:DescribeResource 查看专属资源组基本信息
    eas:ListResources 查看专属资源组列表
    eas:DeleteResource 删除专属资源组
    eas:UpdateResource 更新专属资源组基本信息
    eas:ListResourceInstances 查看专属资源组机器实例列表
    eas:ListResourceInstanceWorker 查看专属资源组机器实例创建的容器列表
    eas:ListResourceServices 查看专属资源组中已部署的服务
    eas:CreateResourceInstances 创建专属资源组机器实例
    eas:DeleteResourceInstances 删除专属资源组机器实例
    eas:UpdateResourceDLink 更新专属资源组VPC直连状态
    eas:DescribeResourceDLink 查看专属资源组VPC直连状态
    eas:DeleteResourceDLink 删除专属资源组VPC直连配置
    eas:CreateResourceLog 开启专属资源组SLS日志投递
    eas:DescribeResourceLog 查看专属资源组SLS日志投递状态
    eas:DeleteResourceLog 删除专属资源组SLS日志投递配置
  • Resource
    PAI-EAS中对Resource的描述格式如下所示。
    acs:eas:<region>:<uid>:<resource_type>/<id>
    您需要将以下参数替换为实际值:
    • <region>:服务或专属资源组所在的地域。
    • <uid>:可操作账号的uid。
    • <resource_type>:资源类型。例如操作服务相关的资源时,取值为service;操作资源组相关的资源时,取值为resource
    • <id>:服务或专属资源组的ID。
    以下分别以操作指定公共资源组部署的服务、专属资源组部署的服务、专属资源组为例,演示Resource的取值:
    • 操作已部署的指定服务
      • 操作公共资源组部署的服务
        acs:eas:cn-hangzhou:123456789012****:service/eas-m-u12fxt9ml1syoj****
        上述Resource表示可操作账号123456789012****在华东1(杭州)部署的ID为eas-m-u12fxt9ml1syoj****的公共资源组服务。
        acs:eas:cn-hangzhou:123456789012****:service/your_service_name
        上述Resource表示可操作账号123456789012****在华东1(杭州)部署的名称为your_service_name的公共资源组服务。
      • 操作专属资源组部署的服务
        acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai81****/service/eas-m-iaskn1skn1us****
        上述Resource表示可操作账号123456789012****在华东2(上海)的ID为eas-r-jksauxqjsai8****的专属资源组中部署的eas-m-iaskn1skn1us****服务。
        acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/your_private_service
        上述Resource表示可操作账号123456789012****在华东2(上海)的ID为eas-r-jksauxqjsai8****的专属资源组中部署的名称为your_private_service的服务。
    • 操作指定的专属资源组
      acs:eas:cn-beijing:123456789012****:resource/eas-r-jksauxqjsai8****
      上述Resource表示可操作账号123456789012****在华北2(北京)的ID为eas-r-jksauxqjsai8****的专属资源组。
    • 批量授权

      您可以将Resource描述格式中任意部分替换为星号(*),以实现批量授权。

      以下示例展示批量授权时,Resource的取值样例:
      • acs:eas:*:123456789012****:service/*
        Resource表示可操作账号123456789012****在所有地域的所有公共资源组的服务。
      • acs:eas:cn-hangzhou:123456789012****:resource/eas-r-jksauxqjsai8****/*
        Resource表示可操作账号123456789012****在华东1(杭州)的eas-r-jksauxqjsai8****专属资源组中部署的所有服务。
      • acs:eas:*:123456789012****:*
        Resource表示可操作账号123456789012****在所有地域的所有资源组和所有服务。
      • acs:eas:*:123456789012****:service/prefix*
        Resource表示可操作账号123456789012****在所有地域的名称前缀为prefix的公共资源组服务。