阿里云 PAI-Rec 权限管理整体采用阿里云 RAM 访问控制系统的云账号内授权模型作为设计原则,我们基于此设计了权限策略并提供访问控制快速授权用户体验,帮助你实现阿里云账号(主账号)的用户管理与分权,安全访问云资源的同时高效使用本产品。
前置概念
前提条件
使用阿里云账号(主账号)身份登录
推荐步骤
创建 RAM 用户并授予 PAI-Rec 管理策略,该策略由一个系统策略和四个自定义策略共同构成。
以阿里云账号(主账号)身份登录阿里云,访问 RAM 控制台并为企业员工创建RAM用户。
访问PAI-Rec管理控制台,单击左侧导航栏的 。
浏览帮助信息并按照界面指引自行创建自定义策略(我们将提供最小权限策略文档,用户可根据需要扩展权限)。策略创建完成后,需在当前页面继续操作,在 AliyunPAIRecPartialRAMAccess 策略详情授权管理中为上述 RAM 用户新增授权。
返回PAI-Rec管理控制台,快速授予 RAM 用户 AliyunPAIRecFullAccess 等共四个权限策略。
将所创建的 RAM 用户添加至依赖的云资源中。
在RAM用户授权区域,单击目标产品资源右侧的添加成员。
选中已创建的RAM用户,单击
,为该用户设置对应的角色,然后单击确定。
使用RAM用户搭建PAI-Rec推荐系统,至少需要为该RAM用户设置以下角色:
云产品
角色
相关文档说明
DataWorks
开发、部署和运维。
MaxCompute
当DataWorks为简单模式:用户在MaxCompute中选择role_project_dev。
当DataWorks为标准模式:用户在MaxCompute的开发项目${project}_dev,角色选择role_project_dev;在DataWorks的计算资源中MaxCompute(项目名称是${project})的任务责任人设置为主账号。
Flinkvvp
EDITOR(默认,无需手动配置)。
Hologres
normal
PAI
算法开发、算法运维和MaxCompute开发。
相关操作
如果需要解除授权,在用户权限策略页签中,单击目标资源右侧的解除,根据界面提示完成操作。
服务授权
为了确保PAI-Rec能够正常访问其他云产品,您可以查看各个云产品的访问状态并完成相关授权。
前提条件
操作步骤
登录PAI-Rec管理控制台,单击左侧导航栏的 。
在服务权限策略页签中,查看各个云产品当前访问状态是否正常。
如果访问状态为失败请单击授权根据界面提示完成操作。