团队协作权限配置

团队协作中直接共享阿里云账号(主账号)存在安全风险。建议创建RAM用户(子账号),并为不同账号精细配置权限,包括可使用的业务空间、可操作的功能以及可调用的模型,以降低安全风险。

业务空间:若主账号下有多个业务或项目在使用阿里云百炼,可将它们划分至不同的业务空间,便于分别管理(如管控各自可调用的模型、隔离彼此的应用和数据等),详见业务空间管理

核心概念

要正确配置权限,需了解阿里云的账户类型:

  • 阿里云账号:主账号,拥有阿里云百炼的所有权限,可以创建和管理RAM用户,并对RAM用户进行授权。

  • RAM用户:子账号,通常由主账号创建,需主账号授权后才能使用和管理阿里云百炼。详细了解RAM用户

通过主账号使用阿里云百炼虽便捷,但出于安全考虑,建议使用 RAM 用户并合理设置权限。RAM 用户涉及以下四种权限:

核心示例

1. 我是项目成员,如何配置权限

场景:需要用RAM用户user-01A项目这个业务空间内进行 AI 应用开发。

步骤:

  1. (主账号操作)创建业务空间:在阿里云百炼控制台创建一个用于隔离项目资源的空间A项目如何创建业务空间

    若目标业务空间已存在,可跳过此步骤。
  2. (主账号操作)创建RAM用户:RAM控制台创建一个RAM用户user-01如何创建RAM用户

  3. (主账号操作)配置成员和操作权限:新用户user-01加入业务空间,并获取模型应用相关页面的操作权限。

  4. (RAM用户操作)登录验证:新用户user-01登录阿里云百炼控制台并开始使用

2. 我是管理员,如何配置权限

场景:需要用RAM用户admin-01管理主账号下所有业务空间、以及空间的成员和API-KEY,但不直接参与开发。

步骤:

  1. (主账号操作)创建RAM用户:RAM控制台创建一个RAM用户admin-01

  2. (主账号操作)配置管理权限:新用户admin-01获取阿里云百炼的管理权限。

    管理权限不包括任何特定业务空间的访问许可。如需访问业务空间,请参考上方的示例1
  3. (RAM用户操作)登录验证:新用户admin-01登录阿里云百炼控制台并开始管理,详见业务空间管理成员管理

权限申请流程

RAM 用户和 RAM 角色可参考本节内容,完整获取阿里云百炼的访问与使用权限。

RAM角色:多个 RAM 用户可通过“扮演”设定的权限身份统一获得阿里云百炼的使用权限。

使用RAM用户

步骤

说明

第一步:加入业务空间

RAM用户须先加入某个业务空间,取得该空间下资源和数据的只读权限。

成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可登录被授权访问的业务空间。

第二步:获取操作权限

在加入的业务空间内,RAM用户默认拥有除系统管理权限管理密钥管理外所有功能页面的只读类权限(如查看),“操作”指在此基础上进一步取得写入类权限(如新建、删除和编辑)。

重要

关于模型授权(子业务空间成员需关注)

默认业务空间的成员无需模型授权,可直接跳过本说明。

子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。

第三步:获取API权限

RAM用户如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口,须获取API权限

第四步(可选):获取管理权限

RAM用户需在其所属业务空间内开通阿里云百炼的功能特性、支付预付费类订单,以及跨业务空间进行全局管理(如管理所有业务空间、成员、API-KEY),须获取管理权限

下一步

开始使用阿里云百炼

使用RAM角色

步骤

说明

第一步:加入业务空间

RAM角色须先加入某个业务空间,取得该空间下资源和数据的只读权限。详见RAM角色登录并使用阿里云百炼中的步骤一至步骤四。

成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可通过扮演该RAM角色登录被授权的业务空间。

第二步:获取操作权限

在加入的业务空间内,RAM角色默认拥有除系统管理权限管理密钥管理外所有功能页面的只读类权限(如查看),“操作”指在此基础上进一步取得写入类权限(如新建、删除和编辑)。详见RAM角色登录并使用阿里云百炼中的步骤四。

重要

关于模型授权(子业务空间成员需关注)

默认业务空间的成员无需模型授权,可直接跳过本说明。

子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。

第三步:获取API权限

RAM角色如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口,须获得API权限。详见RAM角色登录并使用百炼中的步骤五。

第四步(可选):获取管理权限

RAM角色需在其所属业务空间内开通阿里云百炼的功能特性、支付预付费类订单,以及跨业务空间进行全局管理(如管理所有业务空间、成员、API-KEY),须获得管理权限。详见RAM角色登录并使用百炼中的步骤六。

下一步

开始使用阿里云百炼

应用于生产环境

  • 最小权限原则:只授予完成任务所必需的最小权限。例如,开发者只需要特定业务空间的功能操作权限,不应被授予管理权限。

  • 日常操作使用RAM用户:建议仅使用主账号进行授权和成本管理。所有日常的AI应用开发、模型调用等工作都应通过RAM用户完成。

  • 使用业务空间隔离环境:为不同的项目、团队或环境(如开发、测试、生产)创建独立的业务空间,以实现严格的权限和数据隔离。

  • 定期审计权限:定期审查RAM用户的权限,及时移除不再需要的权限或删除已离开的成员账号。

常见问题

为什么我找不到创建业务空间的入口/进入账号管理的入口?

相关功能位于系统管理(北京新加坡页面,属于阿里云百炼的管理功能。若需在该页面上进行管理,须先获取阿里云百炼的管理权限

使用RAM用户/角色时,如何查看我的阿里云百炼账单?

对于RAM用户/角色,目前不支持查看特定产品(例如阿里云百炼)的账单。如果需要查看所有产品的账单,需要主账号在RAM控制台中为RAM用户/角色配置AliyunBSSReadOnlyAccess系统策略。具体操作步骤,RAM用户可参考RAM用户授权,RAM角色可参考RAM角色授权

在支付阿里云百炼预付费订单时遇到bss:PayOrder报错,应该如何处理?

image

请注意,RAM用户默认无权查看阿里云百炼的账单。如需查看,需要主账号授予阿里云百炼的管理权限AliyunBSSOrderAccess系统策略(授权步骤,RAM用户可参考RAM用户授权,RAM角色可参考RAM角色授权)。

RAM用户/角色已具有AdministratorAccess系统策略,还需要配置管理权限(AliyunBailianFullAccess策略)吗?

AdministratorAccess策略已包含AliyunBailianFullAccess策略,拥有该策略的RAM用户(子账号)已具备阿里云百炼的全局管理权限,无需重复配置。

遇到报错子账号无操作权限AliyunSFMFullAccess/AliyunBailianFullAccess,应该如何处理?

image

需要主账号为RAM用户(或RAM角色)配置AliyunBailianFullAccess系统策略。具体操作步骤,RAM用户可参考管理权限,RAM角色可参考RAM角色授予阿里云百炼的管理权限

遇到报错NoPermission,sfm:GetXtraceSIrStatus,应该如何处理?

image

需要主账号为RAM用户/角色配置AliyunRAMFullAccessAliyunTracingAnalysisFullAccessAliyunBailianFullAccess系统策略。具体操作步骤,RAM用户可参考RAM用户授权,RAM角色可参考RAM角色授权

遇到报错NoPermission,sfm:GetRetrievePromptPipelineMaxLimit,应该如何处理?

需要主账号为RAM用户/角色配置AliyunBailianDataFullAccess系统策略(AliyunBailianDataReadOnlyAccess不可以)。具体操作步骤,RAM用户可参考API权限,RAM角色可参考RAM角色授予API权限

使用RAM用户/角色时,首次开通模型调用、应用观测等功能以及支付预付费订单时需要哪些RAM权限?

功能名称

需要开通的RAM权限

模型调用

需要主账号为RAM用户/角色配置AliyunBailianFullAccess系统策略。具体操作步骤,RAM用户可参考管理权限,RAM角色可参考RAM角色授予阿里云百炼管理权限

应用观测

需要主账号为RAM用户/角色配置AliyunBailianFullAccessAliyunRAMFullAccessAliyunTracingAnalysisFullAccess系统策略。具体操作步骤,RAM用户可参考RAM用户授权,RAM角色可参考RAM角色授权

支付预付费订单

需主账号为RAM用户/角色配置AliyunBSSOrderAccessAliyunBailianFullAccess系统策略。具体操作步骤,RAM用户可参考RAM用户授权,RAM角色可参考RAM角色授权