权限管理

阿里云 PAI-Rec 权限管理整体采用阿里云 RAM 访问控制系统的云账号内授权模型作为设计原则,我们基于此设计了权限策略并提供访问控制快速授权用户体验,帮助你实现阿里云账号(主账号)的用户管理与分权,安全访问云资源的同时高效使用本产品。

前置概念

前提条件

推荐步骤

创建 RAM 用户并授予 PAI-Rec 管理策略,该策略由一个系统策略和四个自定义策略共同构成。

  1. 以阿里云账号(主账号)身份登录阿里云,访问 RAM 控制台并为企业员工创建RAM用户

  2. 访问PAI-Rec管理控制台,单击左侧导航栏的系统配置 > 权限管理

  3. 浏览帮助信息并按照界面指引自行创建自定义策略(我们将提供最小权限策略文档,用户可根据需要扩展权限)。策略创建完成后,需在当前页面继续操作,在 AliyunPAIRecPartialRAMAccess 策略详情授权管理中为上述 RAM 用户新增授权imageimage

  4. 返回PAI-Rec管理控制台快速授予 RAM 用户 AliyunPAIRecFullAccess 等共四个权限策略。image

  5. 将所创建的 RAM 用户添加至依赖的云资源中。

    1. RAM用户授权区域,单击目标产品资源右侧的添加成员

    2. 选中已创建的RAM用户,单击image,为该用户设置对应的角色,然后单击确定

      使用RAM用户搭建PAI-Rec推荐系统,至少需要为该RAM用户设置以下角色:

      云产品

      角色

      相关文档说明

      DataWorks

      开发、部署和运维。

      附录:预设角色权限列表(空间级)

      MaxCompute

      • DataWorks为简单模式:用户在MaxCompute中选择role_project_dev。

      • DataWorks为标准模式:用户在MaxCompute的开发项目${project}_dev,角色选择role_project_dev;在DataWorks的计算资源中MaxCompute(项目名称是${project})的任务责任人设置为主账号。

      权限概述

      Flinkvvp

      EDITOR(默认,无需手动配置)。

      权限管理

      Hologres

      normal

      Hologres权限模型

      PAI

      算法开发、算法运维和MaxCompute开发。

      附录:角色及权限列表

相关操作

如果需要解除授权,在用户权限策略页签中,单击目标资源右侧的解除,根据界面提示完成操作。

服务授权

为了确保PAI-Rec能够正常访问其他云产品,您可以查看各个云产品的访问状态并完成相关授权。

前提条件

开通及服务初始化

操作步骤

  1. 登录PAI-Rec管理控制台,单击左侧导航栏的系统配置 > 权限管理

  2. 服务权限策略页签中,查看各个云产品当前访问状态是否正常。

    如果访问状态为失败请单击授权根据界面提示完成操作。