首次使用PAI-DLC,需要对PAI-DLC服务关联角色进行云资源访问授权。此外,如果您使用OSS作为存储系统,则需要根据业务需求为PAI-DLC服务关联角色授予OSS访问权限。本文介绍如何为PAI-DLC服务关联角色授权云资源访问权限和OSS访问权限。
背景信息
使用DLC前,您需要先给操作账号授权操作使用DLC功能的通用权限及OSS的操作权限,使得账号能够操作使用DLC功能。同时,使用DLC时,PAI会在后台对依赖的存储产品OSS、NAS进行存储等操作,所以您还需授权PAI能访问OSS、NAS。授权操作详情请参见下文的操作指导。
操作账号授权:DLC通用权限
为了确保PAI-DLC能够正常提供服务,您需要确认当前操作主账号拥有DLC通用权限,通常在开通并创建默认工作空间时,会统一进行授权操作,您可以根据下文参考:检查账号是否关联AliyunPAIDLCDefaultRole这一角色来检查当前账号是否已经具有DLC通用权限,如果没有,您可参考下文单独进行授权操作。
- 授权AliyunPAIDLCDefaultRole角色。
- 单击去授权,进入云资源访问授权页面。
- 单击同意授权,等待界面提示授权成功。
- 单击去授权,进入云资源访问授权页面。
- 给AliyunPAIDLCDefaultRole角色添加AliyunOSSFullAccess权限。完成上述授权后,操作账号即已具备DLC的默认角色权限,在此基础之上,您还需再添加OSS的操作权限,保障DLC功能的正常使用。操作如下。
- 在RAM控制台的页面,查找AliyunPAIDLCDefaultRole角色,详情请参见查看RAM角色基本信息。
- 在添加权限面板,配置参数。
参数 描述 授权应用范围 选择整个阿里云账号。系统支持的两种授权范围区别如下: - 整个阿里云账号:权限在当前阿里云账号内生效。
- 指定资源组:权限在指定的资源组内生效。
被授权主体 被授权主体即需要授权的RAM角色,系统会自动填入当前的RAM角色AliyunPAIDLCDefaultRole,您无需修改。 选择权限 在系统策略下的文本框中输入OSS进行搜索,根据实际情况,在搜索结果中选择合适的权限策略进行授权。选中的权限策略会显示在右侧的已选择列表中。 
说明 上图的示例中虽然使用的AliyunOSSFullAccess,但是实际权限策略应遵循最小化原则。
- 在RAM控制台的页面,查找AliyunPAIDLCDefaultRole角色,详情请参见查看RAM角色基本信息。
- 给AliyunPAIDLCDefaultRole角色添加PaiDlcOAuthPolicy权限。您还需再添加PaiDlcOAuthPolicy的操作权限,保障DLC功能的正常使用。操作如下。
- 在RAM控制台的页面,查找AliyunPAIDLCDefaultRole角色,详情请参见查看RAM角色基本信息。
- 在添加权限面板,配置如下参数,添加PaiDlcOAuthPolicy权限策略。
- 在RAM控制台的页面,查找AliyunPAIDLCDefaultRole角色,详情请参见查看RAM角色基本信息。
- 检查授权结果。完成上述操作后,您检查AliyunPAIDLCDefaultRole的权限策略是否正确。
PAI访问云产品授权:OSS与NAS
授权PAI访问相关云产品OSS、NAS时,PAI为您提供了一键授权入口,操作详情如下。
参考:检查账号是否关联AliyunPAIDLCDefaultRole这一角色
为了确保PAI-DLC能够正常提供服务,您需要确认当前阿里云主账号拥有AliyunPAIDLCDefaultRole这一服务角色。具体操作如下:
说明 仅主账号可以进行授权,RAM用户无法授权。
- 登录RAM控制台。
- 在左侧导航栏,单击RAM角色管理。
- 在RAM角色管理页面的搜索中,输入AliyunPAIDLCDefaultRole,进行搜索:
- 如果搜索到了该角色,则表示已经授权了PAI-DLC服务角色。
- 如果没有搜索到该角色,则需进行授权操作。