AI 助理
文档备案控制台
官方文档
输入文档关键字查找
首页 智能推荐 AIRec 推荐系统开发平台PAI-Rec 快速入门 权限管理

权限管理

更新时间:
复制为 MD 格式
我的收藏

阿里云 PAI-Rec 权限管理整体采用阿里云 RAM 访问控制系统的云账号内授权模型作为设计原则,我们基于此设计了权限策略并提供访问控制快速授权用户体验,帮助你实现阿里云账号(主账号)的用户管理与分权,安全访问云资源的同时高效使用本产品。另外说明PAI-DLC训练需要的数据传输服务的权限;在PAI-EAS上运行PAI-REC推荐引擎需要的权限。

前置概念

前提条件

PaiRecRamAdminAccess及其他PAI-Rec相关策略的内容说明:

  • PaiRecRamAdminAccess:即PaiRecRamAdminAccess自身,核心是包含ram:AttachPolicyToUser的权限,即可以给其他用户绑定策略。而拥有PaiRecRamAdminAccess权限的用户还可以设置其他用户为该策略的管理员。

  • PaiRecDataManagementAccess:是访问OSS、容器、DataHub、MaxCompute、PAI-Rec控制台服务、FeatureStore相关的OpenAPI权限;

  • PaiRecEngineAccess:主要是包含PAI-EAS服务、Hologres服务的OpenAPI权限;

  • PaiRecMonitorAccess:有Flink、SLS日志的OpenAPI权限;

创建账号和设置管理员

  • 以阿里云账号(主账号)身份登录阿里云,访问 RAM 控制台并为企业员工创建RAM用户

    1. PAI-RecRAM用户包含推荐算法和推荐引擎的研发工程师,以及需要看PAI-Rec实验报表的业务方。

    2. 可选择一个用户设置为PAI-Rec的管理员,即授予PaiRecRamAdminAccess策略的权限。即在策略PaiRecRamAdminAccess的右侧点击授权image

  • 将所创建的 RAM 用户添加至依赖的云资源中,例如将算法研发添加到DataWorks、MaxCompute、PAI、Flink的项目空间中。如果使用Hologres来存储特征或者用户行为数据,还需要把用户添加到Hologres中。

    1. 依赖云资源添加成员区域,单击目标产品资源右侧的添加成员

    2. 选中已创建的RAM用户,单击image,为该用户设置对应的角色,然后单击确定

      使用RAM用户搭建PAI-Rec推荐系统,至少需要为该RAM用户设置以下角色:

      云产品

      角色

      相关文档说明

      DataWorks

      开发、部署和运维。

      附录:预设角色权限列表(空间级)

      MaxCompute

      • 建议创建DataWorks简单模式:用户在MaxCompute中选择role_project_dev。

      • DataWorks为标准模式时:用户在MaxCompute的开发项目${project}_dev,角色选择role_project_dev;在DataWorks的计算资源中MaxCompute(项目名称是${project})的任务责任人设置为主账号。

      权限概述

      Flinkvvp

      EDITOR(默认,无需手动配置)。

      权限管理

      Hologres

      normal

      Hologres权限模型

      PAI

      算法开发、算法运维和MaxCompute开发。

      附录:角色及权限列表

相关操作

如果需要解除授权,在用户权限策略页签中,单击目标资源右侧的解除,根据界面提示完成操作。

使用PAI-DLC训练模型的相关设置

  • 购买与使用独享数据传输服务资源组(即包年包月的数据传输服务),需要在指定的MaxCompute项目中执行指令:setproject odps.tunnel.enable.quota.route.v2=true;

  • 在云产品配置界面,配置StorageAPI之后,会自动在MaxCompute的控制台根据Storage的是否预付费来新增角色 storage_auth_for_pairec_${quota_name}(预付费,即使用包年包月的资源。其中${quota_name}是变量,根据quota名称不同设置不同的值),storage_auth_for_pairec_pay_as_you_go(后付费),其中storage_auth_for_pairec_pay_as_you_go的内容是:

    {
  "Statement": [{
          "Action": ["odps:List",
              "odps:Usage"],
          "Effect": "Allow",
          "Resource": ["acs:odps:*:regions/*/quotas/pay_as_you_go"]
          }],
  "Version": "1"
}

PAI-EAS中推荐引擎的无AK访问权限设置

  • PAI-Rec 推荐引擎中为了AK的情况下启动PAI-EAS服务,并且初始化ABTest SDK、PAI-FeatureStore SDK、Datahub 等,因此需要把权限策略 PaiRecDataManagementAccess 授权给角色 AliyunPAIRecEASRole,参考RAM角色授权

云产品访问状态检查

为了确保PAI-Rec能够正常访问其他云产品,您可以在PAI-Rec控制台的系统配置>权限管理>服务权限策略中检查各个云产品的访问状态并完成相关授权。

前提条件

开通及服务初始化

操作步骤

  1. 登录PAI-Rec管理控制台,单击左侧导航栏的系统配置 > 权限管理

  2. 服务权限策略页签,查看各个云产品当前访问状态是否正常。注意:这里是角色AliyunServiceRoleForPaiRec访问这些云产品的状态。

    如果访问状态为失败请单击授权根据界面提示完成操作。

上一篇:开通及服务初始化下一篇:操作指南