配置RAM用户与RAM角色权限实现团队协作-大模型服务平台百炼-阿里云

团队协作中直接共享阿里云账号（主账号）存在安全风险。建议创建RAM用户（子账号），并为不同账号精细配置权限，包括可使用的业务空间、可操作的功能以及可调用的模型，以降低安全风险。

业务空间：若主账号下有多个业务或项目在使用阿里云百炼，可将它们划分至不同的业务空间，便于分别管理（如管控各自可调用的模型、隔离彼此的应用和数据等），详见业务空间管理。

核心概念

要正确配置权限，需了解阿里云的账户类型：

阿里云账号：即主账号，拥有阿里云百炼的所有权限，可以创建和管理RAM用户，并对RAM用户进行授权。
RAM用户：即子账号，通常由主账号创建，需主账号授权后才能使用和管理阿里云百炼。详细了解RAM用户

通过主账号使用阿里云百炼虽便捷，但出于安全考虑，建议使用 RAM 用户并合理设置权限。RAM 用户涉及以下四种权限：

成员权限：RAM 用户只能访问（只读）已加入业务空间内的功能页面（除系统管理、权限管理和密钥管理外）及数据。如何加入业务空间
操作权限：RAM用户如需在其所属业务空间的页面上执行新建、删除和编辑等写入类操作，须获取相应页面的操作权限。
API权限：RAM用户如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口，须获取相应API的权限。
管理权限：如需使用RAM用户开通阿里云百炼的功能特性、支付预付费类订单，以及访问系统管理页面（管理主账号下的业务空间、空间成员及API-KEY），须获取阿里云百炼的全局管理权限。
重要
管理权限不包括任何特定业务空间的访问许可。如需访问业务空间，须获取该空间的成员权限。

核心示例

1. 我是项目成员，如何配置权限

场景：需要用RAM用户user-01在A项目这个业务空间内进行 AI 应用开发。

步骤：

（主账号操作）创建业务空间：在阿里云百炼控制台创建一个用于隔离项目资源的空间A项目。如何创建业务空间
若目标业务空间已存在，可跳过此步骤。
（主账号操作）创建RAM用户：在RAM控制台创建一个RAM用户user-01。如何创建RAM用户
（主账号操作）配置成员和操作权限：新用户user-01加入业务空间，并获取模型和应用相关页面的操作权限。
（RAM用户操作）登录验证：新用户user-01登录阿里云百炼控制台并开始使用。

2. 我是管理员，如何配置权限

场景：需要用RAM用户admin-01管理主账号下所有业务空间、以及空间的成员和API-KEY，但不直接参与开发。

步骤：

（主账号操作）创建RAM用户：在RAM控制台创建一个RAM用户admin-01。
（主账号操作）配置管理权限：新用户admin-01获取阿里云百炼的管理权限。
管理权限不包括任何特定业务空间的访问许可。如需访问业务空间，请参考上方的示例1。
（RAM用户操作）登录验证：新用户admin-01登录阿里云百炼控制台并开始管理，详见业务空间管理和成员管理。

权限申请流程

RAM 用户和 RAM 角色可参考本节内容，完整获取阿里云百炼的访问与使用权限。

RAM角色：多个 RAM 用户可通过“扮演”设定的权限身份统一获得阿里云百炼的使用权限。

使用RAM用户

步骤	说明
第一步：加入业务空间	RAM用户须先加入某个业务空间，取得该空间下资源和数据的只读权限。成员添加后通常秒级内生效（高峰期可能会稍有延迟），生效后RAM用户即可登录被授权访问的业务空间。
第二步：获取操作权限	在加入的业务空间内，RAM用户默认拥有除系统管理、权限管理及密钥管理外所有功能页面的只读类权限（如查看），“操作”指在此基础上进一步取得写入类权限（如新建、删除和编辑）。重要关于模型授权（子业务空间成员需关注）默认业务空间的成员无需模型授权，可直接跳过本说明。子业务空间（非默认业务空间）成员能否调用、训练和部署某个模型（例如通义千问-Plus）取决于该业务空间是否拥有此模型的调用、训练和部署权限，详见模型授权（若该业务空间先前已授权过，无需重复授权）。
第三步：获取API权限	RAM用户如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口，须获取API权限。
第四步（可选）：获取管理权限	若RAM用户需在其所属业务空间内开通阿里云百炼的功能特性、支付预付费类订单，以及跨业务空间进行全局管理（如管理所有业务空间、成员、API-KEY），须获取管理权限。
下一步	开始使用阿里云百炼

使用RAM角色

步骤	说明
第一步：加入业务空间	RAM角色须先加入某个业务空间，取得该空间下资源和数据的只读权限。详见RAM角色登录并使用阿里云百炼中的步骤一至步骤四。成员添加后通常秒级内生效（高峰期可能会稍有延迟），生效后RAM用户即可通过扮演该RAM角色登录被授权的业务空间。
第二步：获取操作权限	在加入的业务空间内，RAM角色默认拥有除系统管理、权限管理及密钥管理外所有功能页面的只读类权限（如查看），“操作”指在此基础上进一步取得写入类权限（如新建、删除和编辑）。详见RAM角色登录并使用阿里云百炼中的步骤四。重要关于模型授权（子业务空间成员需关注）默认业务空间的成员无需模型授权，可直接跳过本说明。子业务空间（非默认业务空间）成员能否调用、训练和部署某个模型（例如通义千问-Plus）取决于该业务空间是否拥有此模型的调用、训练和部署权限，详见模型授权（若该业务空间先前已授权过，无需重复授权）。
第三步：获取API权限	RAM角色如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口，须获得API权限。详见RAM角色登录并使用百炼中的步骤五。
第四步（可选）：获取管理权限	若RAM角色需在其所属业务空间内开通阿里云百炼的功能特性、支付预付费类订单，以及跨业务空间进行全局管理（如管理所有业务空间、成员、API-KEY），须获得管理权限。详见RAM角色登录并使用百炼中的步骤六。
下一步	开始使用阿里云百炼

应用于生产环境

最小权限原则：只授予完成任务所必需的最小权限。例如，开发者只需要特定业务空间的功能操作权限，不应被授予管理权限。
日常操作使用RAM用户：建议仅使用主账号进行授权和成本管理。所有日常的AI应用开发、模型调用等工作都应通过RAM用户完成。
使用业务空间隔离环境：为不同的项目、团队或环境（如开发、测试、生产）创建独立的业务空间，以实现严格的权限和数据隔离。
定期审计权限：定期审查RAM用户的权限，及时移除不再需要的权限或删除已离开的成员账号。

常见问题

为什么我找不到创建业务空间的入口/进入账号管理的入口？

相关功能位于系统管理（北京或新加坡）页面，属于阿里云百炼的管理功能。若需在该页面上进行管理，须先获取阿里云百炼的管理权限。

使用RAM用户/角色时，如何查看我的阿里云百炼账单？

对于RAM用户/角色，目前不支持查看特定产品（例如阿里云百炼）的账单。如果需要查看所有产品的账单，需要主账号在RAM控制台中为RAM用户/角色配置AliyunBSSReadOnlyAccess系统策略。具体操作步骤，RAM用户可参考为RAM用户授权，RAM角色可参考为RAM角色授权。

在支付阿里云百炼预付费订单时遇到bss:PayOrder报错，应该如何处理？

请注意，RAM用户默认无权查看阿里云百炼的账单。如需查看，需要主账号授予阿里云百炼的管理权限和AliyunBSSOrderAccess系统策略（授权步骤，RAM用户可参考为RAM用户授权，RAM角色可参考为RAM角色授权）。

RAM用户/角色已具有AdministratorAccess系统策略，还需要配置管理权限（AliyunBailianFullAccess策略）吗？

AdministratorAccess策略已包含AliyunBailianFullAccess策略，拥有该策略的RAM用户（子账号）已具备阿里云百炼的全局管理权限，无需重复配置。

遇到报错子账号无操作权限AliyunSFMFullAccess/AliyunBailianFullAccess，应该如何处理？

需要主账号为RAM用户（或RAM角色）配置AliyunBailianFullAccess系统策略。具体操作步骤，RAM用户可参考管理权限，RAM角色可参考为RAM角色授予阿里云百炼的管理权限。

遇到报错NoPermission，sfm:GetXtraceSIrStatus，应该如何处理？

需要主账号为RAM用户/角色配置AliyunRAMFullAccess、AliyunTracingAnalysisFullAccess和AliyunBailianFullAccess系统策略。具体操作步骤，RAM用户可参考为RAM用户授权，RAM角色可参考为RAM角色授权。

遇到报错NoPermission，sfm:GetRetrievePromptPipelineMaxLimit，应该如何处理？

需要主账号为RAM用户/角色配置AliyunBailianDataFullAccess系统策略（AliyunBailianDataReadOnlyAccess不可以）。具体操作步骤，RAM用户可参考API权限，RAM角色可参考为RAM角色授予API权限。

使用RAM用户/角色时，首次开通模型调用、应用观测等功能以及支付预付费订单时需要哪些RAM权限？

功能名称	需要开通的RAM权限
模型调用	需要主账号为RAM用户/角色配置`AliyunBailianFullAccess`系统策略。具体操作步骤，RAM用户可参考管理权限，RAM角色可参考为RAM角色授予阿里云百炼管理权限。
应用观测	需要主账号为RAM用户/角色配置`AliyunBailianFullAccess`、`AliyunRAMFullAccess`和`AliyunTracingAnalysisFullAccess`系统策略。具体操作步骤，RAM用户可参考为RAM用户授权，RAM角色可参考为RAM角色授权。
支付预付费订单	需主账号为RAM用户/角色配置`AliyunBSSOrderAccess`和`AliyunBailianFullAccess`系统策略。具体操作步骤，RAM用户可参考为RAM用户授权，RAM角色可参考为RAM角色授权。