首次使用PAI-DLC,需要对PAI-DLC服务关联角色进行云资源访问授权。此外,如果您使用OSS作为存储系统,则需要根据业务需求为PAI-DLC服务关联角色授予OSS访问权限。本文为您介绍如何为PAI-DLC服务关联角色授权。

背景信息

使用DLC前,您需要先为操作账号授权使用DLC功能的通用权限及OSS的操作权限,使账号能够操作使用DLC功能。同时,PAI也支持您通过工作空间,对RAM用户进行DLC训练任务细化操作的权限控制。此外,使用DLC时,PAI会在后台对依赖的存储产品OSS、NAS进行存储等操作,所以您还需授权PAI能访问OSS、NAS。授权操作详情,请参见下文的操作指导。

操作账号授权:DLC通用权限

为确保PAI-DLC能正常提供服务,您需要确认当前操作主账号拥有DLC通用权限。通常在开通并创建默认工作空间时,会统一进行授权操作。您可以根据下文参考:检查账号是否关联AliyunPAIDLCDefaultRole这一角色来检查当前账号是否已经具有DLC通用权限。如果没有,您可以参考下文单独进行授权操作。

  1. 进入通用训练资源页面。
    1. 登录PAI控制台
    2. 在左侧导航栏单击资源和加速 > 计算资源组,进入通用训练资源页面。
  2. 授权AliyunPAIDLCDefaultRole角色。
    1. 单击去授权,进入云资源访问授权页面。
      授权
    2. 单击同意授权,等待界面提示授权成功。
  3. AliyunPAIDLCDefaultRole角色添加AliyunOSSFullAccess权限。
    完成上述授权后,操作账号即已具备DLC的默认角色权限。在此基础之上,您还需再添加OSS的操作权限,保障DLC功能的正常使用。具体操作如下。
    1. RAM控制台身份管理 > 角色页面,查找AliyunPAIDLCDefaultRole角色,详情请参见查看RAM角色
      DLC
    2. 单击AliyunPAIDLCDefaultRole角色操作列下的添加权限
    3. 添加权限面板,配置参数。
      参数描述
      授权范围选择整个云账号。系统支持的两种授权范围区别如下:
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
      授权主体授权主体即需要授权的RAM角色,系统会自动填入当前的RAM角色AliyunPAIDLCDefaultRole,您无需修改。
      选择权限系统策略下的文本框中输入OSS进行搜索,根据实际情况,在搜索结果中选择合适的权限策略进行授权。选中的权限策略会显示在右侧的已选择列表中。选择权限
      说明 上图示例中虽然使用的AliyunOSSFullAccess,但是实际权限策略应遵循最小化原则。
    4. 单击确定
  4. AliyunPAIDLCDefaultRole角色添加PaiDlcOAuthPolicy权限,保障DLC功能的正常使用,具体操作如下。
    1. 创建自定义权限策略PaiDlcOAuthPolicy,其中关键参数配置如下,具体操作请参见通过脚本编辑模式创建自定义权限策略
      参数描述
      脚本编辑脚本编辑页签,输入以下权限策略内容。
      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ram:GetDefaultDomain",
        "ram:ListApplications",
        "ram:CreateApplication",
        "ram:ListAppSecretIds",
        "ram:GetAppSecret",
        "ram:CreateAppSecret",
        "ram:DeleteApplication",
        "ram:DeleteAppSecret"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}
      名称配置为PaiDlcOAuthPolicy
    2. 单击AliyunPAIDLCDefaultRole角色操作列下的添加权限
    3. 添加权限面板,按照下图操作指引,添加PaiDlcOAuthPolicy权限策略。
      DLC权限
  5. 检查授权结果。
    完成上述操作后,您需要单击AliyunPAIDLCDefaultRole,检查该角色的权限策略是否正确。DLC权限确认

操作账号授权:主账号授权RAM用户部分DLC训练任务的操作权限

阿里云主账号可以授权RAM用户管理PAI-DLC中的训练任务,包括创建任务、查看任务详情、克隆任务、停止任务、分享任务、删除任务等操作。您可以参考以下内容,对RAM用户进行授权。
  • 授权RAM用户可以管理PAI-DLC中自己创建的训练任务,您需要在对应工作空间中为RAM用户添加管理员算法开发算法运维角色,具体操作详情请参见管理成员
  • 授权RAM用户可以管理PAI-DLC中其他人创建的训练任务,您需要在对应工作空间中为RAM用户添加管理员算法运维角色,具体操作详情请参见管理成员

PAI访问云产品授权:OSS与NAS

授权PAI访问相关云产品OSS、NAS时,PAI为您提供了一键授权入口,操作详情如下。
说明 目前不支持使用RAM角色登录DLC,仅支持通过以下方式授权DLC访问OSS。
  1. 登录PAI控制台
  2. 在左侧导航栏单击开通和授权 > 全部云产品依赖,在DLC功能模块下找到OSSNAS
  3. 操作列查看OSS的授权状态。
    • 如果还未授权,请单击操作列下的一键授权,根据界面提示完成授权操作。
    • 如果已完成授权,可单击操作列下的查看授权信息,查看授权的详细信息。

参考:检查账号是否关联AliyunPAIDLCDefaultRole这一角色

为确保PAI-DLC能正常提供服务,您需要确认当前阿里云主账号拥有AliyunPAIDLCDefaultRole这一服务角色。具体操作步骤如下。
说明 仅主账号可以进行授权,RAM用户无法授权。
  1. 登录RAM控制台
  2. 在左侧导航栏,单击身份管理>角色
  3. 角色页面的搜索框中,输入AliyunPAIDLCDefaultRole,进行搜索。
    • 如果搜索到了该角色,则表示已经授权了PAI-DLC服务角色。
    • 如果没有搜索到该角色,则需进行授权操作。