为业务空间添加RAM用户并配置功能权限-大模型服务平台百炼-阿里云

管理业务空间成员及其功能权限。

添加成员

必须先将RAM用户添加为业务空间的成员，其才能访问（只读）该空间的功能页面（除系统管理、权限管理和密钥管理外）及数据。

阿里云百炼不会自动添加RAM用户到任何业务空间，请参考下方步骤手动添加（暂不支持批量添加和邀请）。

操作步骤

重要

需主账号或具备管理权限的RAM用户操作。

在系统管理（北京或新加坡）页面，点击左侧导航栏中的账号管理。点击页面右上方的新增用户。
- 类型：选择RAM用户。
- RAM用户：下拉列表将展示主账号下的所有RAM用户，选择要授权的RAM用户。了解如何创建RAM用户
- 显示名称：设置该用户在阿里云百炼中展示的名称。
点击确定，添加的RAM用户即出现在列表中。
至此该RAM用户还未被添加到任何业务空间，因此在登录阿里云百炼时会提示您没有该业务空间权限或业务空间不存在，还需为其指定可访问的业务空间和功能页面。
在账号管理列表中，找到刚添加的用户，点击其右侧的权限管理，然后点击+添加权限，选择允许该用户访问的业务空间及要授予的页面权限。
拥有管理员页面权限的RAM用户可操作授权业务空间中除页面右上角按钮（即系统管理）以外的所有功能。
点击确定，授权即生效。被授权的RAM用户已能够访问相应的业务空间。
至此该RAM用户已能够访问相应的业务空间。

配置成员权限

加入业务空间的RAM用户可获取4种权限类型：模型权限、页面权限、API权限和管理权限。彼此互不重叠，请按需配置。

主账号默认拥有所有业务空间的全部权限。

模型权限

RAM用户的模型权限与业务空间绑定，不同空间的模型授权相互独立。

默认业务空间：RAM用户加入默认业务空间后可直接调用、调优和部署所有支持的模型，无需执行下方步骤授权。支持调用的模型列表支持训练的模型列表支持部署的模型列表
子业务空间：初始状态下子业务空间无任何模型调用、调优或部署权限。请参考下方步骤授权该空间使用特定模型（例如qwen-plus），RAM用户才能在该空间内对该模型进行调用、调优或部署。

例如：某RAM用户同时属于默认业务空间和业务空间A（子业务空间，且未获得qwen-plus的授权）。其在默认空间中可自由使用qwen-plus，但切换至空间A后则无法使用该模型。

注意：若将默认业务空间中的API Key共享给子业务空间的RAM用户，其可绕过空间授权直接通过API调用模型。该方法虽在技术上可行，但可能引入安全风险，应避免。

操作步骤

重要

请使用主账号操作。若需使用RAM用户，需主账号为其配置管理权限，并将其添加为需要获得模型授权的业务空间的成员。

进入业务空间管理（北京或新加坡）界面，找到需要授权的子业务空间，点击右侧的模型权限流控设置。
找到目标模型，然后点击右侧的编辑。
开启相应权限后，点击保存（对于不支持调优/部署的模型，开启按钮不可见）即可。

页面权限

在加入的业务空间中，RAM用户默认仅拥有除系统管理、权限管理及密钥管理外所有功能页面的只读权限（查看功能）。

若需使用特定页面（如模型调优、知识库等）的完整功能（包括新建、删除和编辑等写入类操作），请参考下方步骤添加相应页面的操作权限。

操作步骤

重要

需主账号或在目标业务空间内具备管理员或权限管理页面权限的RAM用户操作。

在阿里云百炼控制台首页（北京或新加坡）左下角，点击图标切换到目标业务空间。
在左侧导航栏中，点击权限管理，找到目标RAM用户，点击其右侧的权限管理。
在页面权限区域，点击编辑，勾选需要的功能页面操作权限（支持多选，建议仅授予用户完成其任务所必需的权限），然后点击确定。

API权限

在加入的业务空间中，RAM用户默认无权调用应用数据、知识库、Prompt工程及长期记忆等功能的接口。

若需调用，请参考下方步骤手动添加相应API的权限。

操作步骤

重要

需主账号或具备AliyunRAMFullAccess系统策略的RAM用户操作。

在RAM控制台的左侧导航栏中，选择身份管理 > 用户。
虽然API权限通过RAM策略授予，但接口调用时需携带业务空间IDWorkspaceId，因此最终权限范围受用户所属的业务空间限制。
找到目标RAM用户，点击其右侧的添加权限。
在添加权限面板中，资源范围请选择账号级别。在权限策略区域，搜索并勾选以下任一策略：
- AliyunBailianDataFullAccess：可调用API目录下的所有API。
- AliyunBailianDataReadOnlyAccess：可调用API目录下的只读类API，例如DescribeFile、GetIndexJobStatus等，但无法调用API目录下的增删改类API，例如Retrieve、AddFile、CreateIndex以及UpdateMemory等。
点击确认新增授权。了解如何解除授权

注意：如需限制RAM用户调用API目录中的某个具体API，请参考下方折叠面板中的说明配置。

授予单个接口的调用权限步骤

1. 创建自定义策略

在RAM控制台的左侧导航栏中，选择权限管理 > 权限策略，然后点击页面上的创建权限策略。完成后点击确定。
- 效果：选择允许或拒绝。
- 服务：选择大模型服务平台百炼 / SFM。
- 操作：选择全部操作或指定操作。可直接在搜索框中输入要添加到自定义策略中的权限（操作）名称，例如sfm:CreateIndex。
  当效果为允许时，选择全部操作将使RAM用户拥有调用API目录下所有API的权限。
在弹出的对话框中填写自定义策略的名称和备注信息后，再点击确定。

2. 为RAM用户授予自定义策略

策略创建成功后，点击页面上的新增授权（或在左侧导航栏选择授权后再点击页面上的新增授权），为RAM用户授予刚创建的自定义策略。
- 资源范围：选择账号级别。
- 授权主体：选择待授权的RAM用户。可选中多个RAM用户进行批量授权。
- 权限策略：在搜索框中输入刚创建的自定义策略并勾选。
点击确认新增授权，完成授权配置。了解如何解除授权。

管理权限

在加入的业务空间中，RAM用户默认无权访问系统管理（北京或新加坡），因此无法管理主账号下的任何阿里云百炼业务空间、账号和API Key。

如需授权RAM用户执行此类全局管理操作，请参考下方步骤添加管理权限。

操作步骤

重要

需主账号或具备AliyunRAMFullAccess系统策略的RAM用户操作。

在RAM控制台的左侧导航栏中，选择身份管理 > 用户。
点击待授权的RAM用户操作列的添加权限。
将资源范围设置为账号级别。在权限策略区域，搜索并勾选AliyunBailianFullAccess，然后点击确认新增授权。了解如何解除授权。

注意：管理权限 (全局管理）仅授予RAM用户跨业务空间进行管理的资格，但不包括任何特定业务空间的访问许可。如需访问业务空间，须取得该空间的成员权限。

移除成员

此操作将移除RAM用户对指定业务空间的所有访问和操作权限，并使其在该空间内创建的 API Key 失效。该用户在其他业务空间的权限及创建的API Key不受影响。

操作步骤

重要

需主账号操作。

在阿里云百炼控制台首页（北京或新加坡）左下角，点击图标切换到目标业务空间。
在左侧导航栏中，点击权限管理。找到目标RAM用户，点击其右侧的删除（注意：删除按钮仅对主账号可见）。
在确认弹框中，点击删除。

常见问题

已具备管理权限，登录时提示“您没有该业务空间权限或业务空间不存在”？

AliyunBailianFullAccess系统策略的作用是让RAM用户能访问系统管理（北京或新加坡）页面，不包含任何业务空间的访问权限。如需访问业务空间，须获得该空间的成员权限。

已加入目标业务空间，但在调用阿里云百炼API时仍报错（如下所示），应如何处理？

{
  "AccessDeniedDetail": {
    "AuthAction": "sfm:XXXX",
    "AuthPrincipalType": "SubUser",
    ...
    "PolicyType": "AccountLevelIdentityBasedPolicy",
    "NoPermissionType": "ImplicitDeny",
    ...
  },
  "RequestId": "0A944043-F87D-5EAA-XXXX-2A6E51A6296C",
  "Message": "You are not authorized to perform this action.",
  "Code": "NoPermission",
  ...
}

该报错表示您的账号没有此接口的API权限。您可以单独申请该接口的权限，也可申请RAM系统策略（需包含该接口的权限）。