团队协作中直接共享阿里云账号(主账号)存在安全风险。建议创建RAM用户(子账号),并为不同账号精细配置权限,包括可使用的业务空间、可操作的功能以及可调用的模型,以降低安全风险。
业务空间:若主账号下有多个业务或项目在使用阿里云百炼,可将它们划分至不同的业务空间,便于分别管理(如管控各自可调用的模型、隔离彼此的应用和数据等),详见业务空间管理。
核心概念
要正确配置权限,需了解阿里云的账户类型:
阿里云账号:即主账号,拥有阿里云百炼的所有权限,可以创建和管理RAM用户,并对RAM用户进行授权。
RAM用户:即子账号,通常由主账号创建,需主账号授权后才能使用和管理阿里云百炼。详细了解RAM用户
通过主账号使用阿里云百炼虽便捷,但出于安全考虑,建议使用 RAM 用户并合理设置权限。RAM 用户涉及以下四种权限:
成员权限:RAM 用户只能访问(只读)已加入业务空间内的功能页面(除系统管理、权限管理和密钥管理外)及数据。如何加入业务空间
操作权限:RAM用户如需在其所属业务空间的页面上执行新建、删除和编辑等写入类操作,须获取相应页面的操作权限。
API权限:RAM用户如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口,须获取相应API的权限。
管理权限:如需使用RAM用户开通阿里云百炼的功能特性、支付预付费类订单,以及访问系统管理页面(管理主账号下的业务空间、空间成员及API-KEY),须获取阿里云百炼的全局管理权限。
重要管理权限不包括任何特定业务空间的访问许可。如需访问业务空间,须获取该空间的成员权限。
核心示例
1. 我是项目成员,如何配置权限
场景:需要用RAM用户user-01
在A项目
这个业务空间内进行 AI 应用开发。
步骤:
2. 我是管理员,如何配置权限
场景:需要用RAM用户admin-01
管理主账号下所有业务空间、以及空间的成员和API-KEY,但不直接参与开发。
步骤:
权限申请流程
RAM 用户和 RAM 角色可参考本节内容,完整获取阿里云百炼的访问与使用权限。
RAM角色:多个 RAM 用户可通过“扮演”设定的权限身份统一获得阿里云百炼的使用权限。
使用RAM用户
步骤 | 说明 |
第一步:加入业务空间 | RAM用户须先加入某个业务空间,取得该空间下资源和数据的只读权限。 成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可登录被授权访问的业务空间。 |
第二步:获取操作权限 | 在加入的业务空间内,RAM用户默认拥有除系统管理、权限管理及密钥管理外所有功能页面的只读类权限(如查看),“操作”指在此基础上进一步取得写入类权限(如新建、删除和编辑)。 重要 关于模型授权(子业务空间成员需关注) 默认业务空间的成员无需模型授权,可直接跳过本说明。 子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。 |
第三步:获取API权限 | |
第四步(可选):获取管理权限 | 若RAM用户需在其所属业务空间内开通阿里云百炼的功能特性、支付预付费类订单,以及跨业务空间进行全局管理(如管理所有业务空间、成员、API-KEY),须获取管理权限。 |
下一步 |
使用RAM角色
步骤 | 说明 |
第一步:加入业务空间 | RAM角色须先加入某个业务空间,取得该空间下资源和数据的只读权限。详见RAM角色登录并使用阿里云百炼中的步骤一至步骤四。 成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可通过扮演该RAM角色登录被授权的业务空间。 |
第二步:获取操作权限 | 在加入的业务空间内,RAM角色默认拥有除系统管理、权限管理及密钥管理外所有功能页面的只读类权限(如查看),“操作”指在此基础上进一步取得写入类权限(如新建、删除和编辑)。详见RAM角色登录并使用阿里云百炼中的步骤四。 重要 关于模型授权(子业务空间成员需关注) 默认业务空间的成员无需模型授权,可直接跳过本说明。 子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。 |
第三步:获取API权限 | RAM角色如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口,须获得API权限。详见RAM角色登录并使用百炼中的步骤五。 |
第四步(可选):获取管理权限 | 若RAM角色需在其所属业务空间内开通阿里云百炼的功能特性、支付预付费类订单,以及跨业务空间进行全局管理(如管理所有业务空间、成员、API-KEY),须获得管理权限。详见RAM角色登录并使用百炼中的步骤六。 |
下一步 |
应用于生产环境
最小权限原则:只授予完成任务所必需的最小权限。例如,开发者只需要特定业务空间的功能操作权限,不应被授予管理权限。
日常操作使用RAM用户:建议仅使用主账号进行授权和成本管理。所有日常的AI应用开发、模型调用等工作都应通过RAM用户完成。
使用业务空间隔离环境:为不同的项目、团队或环境(如开发、测试、生产)创建独立的业务空间,以实现严格的权限和数据隔离。
定期审计权限:定期审查RAM用户的权限,及时移除不再需要的权限或删除已离开的成员账号。