权限管理包括RAM账号授权和服务授权,合理设置相关权限有助于实现权限精细化管控。
RAM账号授权
在实际业务中,不同部门和团队需要访问不同的云资源,您可以使用阿里云主账号为不同的RAM用户(子账号)分配适当的权限,从而减少主账号的直接操作风险,提高系统的安全性、合规性和操作效率。
前提条件
操作步骤
主账号登录PAI-Rec管理控制台,单击左侧导航栏的。
账号云产品授权。
在RAM账号权限页签的RAM账号云产品授权区域,单击目标策略右侧的用户授权。至少授权一个策略给子账号,子账号才能访问PAI-Rec的实例。PaiRecDataManagementAccess:基本的数据管理和建模权限,包括访问MaxCompute、DataWorks、OSS、Storage API、PAI相关权限;PaiRecEngineAccess:引擎配置和发布服务的权限,FeatureStore、Hologres、PAI-EAS相关权限;PaiRecMonitorAccess:SLS、Datahub、Flink、Kafka的相关权限。
选中已创建的RAM用户,单击
,然后单击授权。在授权页面确认权限策略信息后,单击确认授权。
返回控制台,在开发人员列可查看已被授权的RAM用户。
资源授权。
在RAM账号资源授权区域,单击目标产品资源右侧的添加成员。
选中已创建的RAM用户,单击
,为该用户设置对应的角色,然后单击确定。使用RAM用户搭建PAI-Rec推荐系统,至少需要为该RAM用户设置以下角色:
云产品
角色
相关文档说明
DataWorks
开发、部署和运维。
MaxCompute
当DataWorks为简单模式:用户在MaxCompute中选择role_project_dev。
当DataWorks为标准模式:用户在MaxCompute的开发项目${project}_dev,角色选择role_project_dev;在DataWorks的计算资源中MaxCompute(项目名称是${project})的任务责任人设置为主账号。
Flinkvvp
EDITOR(默认,无需手动配置)。
Hologres
normal
PAI
算法开发、算法运维和MaxCompute开发。
相关操作
如果需要解除授权,在开发人员页签中,单击目标资源右侧的解除授权,根据界面提示完成操作。
服务授权
为了确保PAI-Rec能够正常访问其他产品服务,您可以查看各个云产品服务的访问状态,完成相关授权。
前提条件
操作步骤
登录PAI-Rec管理控制台,单击左侧导航栏的。
在访问服务页签中,查看各个云产品当前访问状态是否正常。
如果访问状态为失败,请单击授权,根据界面提示完成操作。