如果使用子账号管理模型服务或专属资源组,则需要主账号对其授权。

背景信息

PAI-EAS中涉及的权限点如下。
权限点类型 权限点名称 权限点内容
模型服务权限 eas:EditInstance 写权限,可以创建、更新及删除模型服务。
eas:ListInstance 列举权限。在PAI-EAS控制台概览页面,可以列举模型服务。
eas:ReadInstance 读权限,可以查看模型服务监控、日志、服务地址及在线调试。
eas:OperateInstance 操作权限,可以启动模型服务、停止模型服务及切换流量。
资源组权限 eas:ListResourceGroup 列举权限。在PAI-EAS控制台概览页面,可以列举资源组。部署服务时,可以列举并使用资源组。
eas:ReadResourceGroup 读权限,可以进入资源组详情页面,并查看资源组信息(包括服务器数量、型号及服务状态等)。
eas:OperateResourceGroup 操作权限,可以创建(购买)或删除资源组、续费(后付费资源组)、扩容或缩容(后付费资源组)及开通或关闭资源组的VPC直连功能。
权限策略的释义:
  • 权限策略是阿里云对子账号进行授权的基本单位。
  • 权限策略是权限点的父概念,即一个权限策略可以包括单个或多个权限点。
  • 主账号根据权限策略名称区分不同的权限策略,并为子账号进行权限策略授权。
  • 阿里云支持系统权限策略(通用权限策略)和用户自定义权限策略(根据特定阿里云产品的具体需求,自定义策略)。PAI-EAS的权限策略属于自定义策略,需要用户自己定义。

为子账号授权PAI-EAS操作权限

因为PAI-EAS的权限策略属于特定产品的权限策略,所以必须先创建自定义权限策略,再将其授权给子账号。

  1. 登录RAM控制台
  2. 创建自定义权限策略。
    1. 在左侧导航栏,选择权限管理 > 权限管理策略
    2. 权限管理策略页面,单击创建权限策略
    3. 新建自定义权限策略页面,配置参数。
      参数 描述
      策略名称 建议根据实际需要的权限点和业务命名策略。
      备注 描述信息,便于区分各权限策略。
      配置模式 单击脚本配置
      策略内容 参见PAI-EAS涉及的权限点,定义策略内容。一个权限策略可以包含单个或多个权限点。
      注意 请根据子账号需要使用的权限,谨慎定义权限策略。
      例如,定义子账号模型服务读权限和写权限,可以配置策略名称Model_R&W,并配置策略内容如下。主账号为子账号授权Model_R&W策略后,子账号就拥有了模型服务的读权限和写权限。
      {
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "eas:ReadInstance",
                      "eas:EditInstance"
                  ],
                  "Resource": "*"
              }
          ],
          "Version": "1"
      }
    4. 单击确定
  3. 为子账号授权。
    1. 在左侧导航栏,选择人员管理 > 用户
    2. 用户页面,单击待授权子账号操作列下的添加权限
    3. 可选:添加权限面板,配置参数。
      参数 描述
      授权范围 单击云账号全部资源
      被授权主体 系统自动填入,通常无需修改。
      选择权限
      1. 单击自定义策略
      2. 在左侧权限策略名称列表,单击已定义的权限策略(例如Model_R&W),该策略会显示在右侧已选择列表。
    4. 单击确定

为子账号授权购买专属资源组权限

如果使用子账号购买(创建)专属资源组,则不仅需要授权资源组的操作权限eas:OperateResourceGroup,而且需要授权财务权限AliyunFinanceConsoleFullAccess,否则子账号无法下单付款。因为财务权限为系统权限策略,所以无需自定义策略,直接进行授权即可。

  1. 登录RAM控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,单击待授权子账号操作列下的添加权限
  4. 添加权限面板,配置参数。
    参数 描述
    授权范围 单击云账号全部资源
    被授权主体 系统自动填入,通常无需修改。
    选择权限
    1. 单击系统策略
    2. 在左侧权限策略名称列表,单击AliyunFinanceConsoleFullAccess权限策略,该策略会显示在右侧已选择列表。
  5. 单击确定

为子账号授权模型服务部署权限

如果使用子账号管理模型服务部署,不仅需要为子账号授权自定义权限策略,而且还需要手动将子账号AccessKey绑定至数加租户系统。主账号可以先在用户管理中查看待授权子账号的AccessKey,再将该AccessKey告知子账号。

  1. 主账号查看待授权子账号的AccessKey。
    1. 主账号登录RAM控制台
    2. 在左侧导航栏,选择人员管理 > 用户
    3. 用户页面,单击待授权子账号用户登录名称列下的用户名称。
    4. 在用户详细信息页面的用户AccessKey区域,查看子账号AccessKey。
      子账号AccessKey如果待授权子账号没有AccessKey,则可以单击创建AccessKey为其创建一个。
  2. 子账号在数据控制台的个人信息中,绑定自己的AccessKey,详情请参见更新个人信息