权限管理_大模型服务平台百炼(Model Studio)-阿里云帮助中心

阿里云账号（主账号）及其下的RAM用户（子账号）可以共同使用阿里云百炼，并且您可以根据不同子账号的职能，为它们配置相应的业务空间、功能及模型权限，从而降低安全风险。

业务空间：如果您的主账号下有多个业务或场景在使用阿里云百炼，并且您需要对它们分别进行管理（比如管控各自可调用的模型、隔离彼此的应用和数据等），可以将它们各自划分至独立的业务空间。

账号说明

要开始使用百炼，您需要先获取一个阿里云账号并完成登录。您可以选择以下两种账号类型：

阿里云账号：即主账号，默认可以创建RAM用户，并对RAM用户进行管理、授权等。
RAM用户：即子账号，可由主账号或拥有特定系统策略的RAM用户在RAM控制台中创建、管理并进行授权，实现不同RAM用户拥有不同资源访问权限的目的。详细了解RAM用户

如果您尚不熟悉百炼，建议先阅读下方的阿里云百炼权限管理体系介绍。

阿里云百炼权限管理体系介绍

阿里云百炼权限可分为数据层权限（允许使用或调用阿里云百炼，属于基础权限）和管控层权限（允许对阿里云百炼进行全局管理，属于高级权限），两者互不重叠。关于两者的详细说明和区别，请参见下方表格。

开通阿里云百炼的主账号默认拥有全部数据层权限和管控层权限。

权限分类	权限说明	如何获取权限
数据层权限	指定用户可以访问哪些业务空间，以及可以使用业务空间中的哪些功能。	主账号：主账号开通阿里云百炼后默认拥有数据层权限。 RAM用户（或RAM角色）：详见获取阿里云百炼的数据层权限。
管控层权限	是否允许用户管理阿里云百炼，包括：创建以及编辑某个业务空间的权限。阿里云百炼暂不支持删除业务空间。添加、删除、编辑以及查看某个业务空间下全部成员的权限。创建、删除和查看某个业务空间下所有成员API-KEY的权限。首次开通阿里云百炼功能特性的权限（例如应用观测）和支付预付费类订单所必须的基础权限。了解还需要哪些权限	主账号：主账号开通阿里云百炼后默认拥有管控层权限。 RAM用户（或RAM角色）：详见获取阿里云百炼的管控层权限。

重要

一般来说，如果用户（RAM用户或RAM角色，非主账号）仅需使用授权的阿里云百炼功能、API和大模型，则只需拥有数据层权限；若用户还需要对阿里云百炼的业务空间、账号、所有成员的API-KEY进行管理，或者为其他用户开通阿里云百炼功能特性（例如应用观测），则必须同时拥有数据层权限和管控层权限。

开通阿里云百炼并注册新用户流程

步骤一：开通阿里云百炼

请使用阿里云账号（主账号）开通阿里云百炼。

注册账号：如果没有阿里云账号（主账号），您需要先注册一个阿里云账号（主账号）并完成实名认证。
开通阿里云百炼：访问阿里云百炼控制台，阅读并同意阿里云百炼服务协议后将自动开通阿里云百炼服务。系统会默认为您创建一个百炼业务空间（即默认业务空间），您可以直接使用。

步骤二：注册新用户

开通服务后，您可以选择通过主账号、RAM用户（或RAM角色）使用阿里云百炼。二者的区别在于：RAM用户（或RAM角色）必须先获得主账号的授权，才能对业务空间、账号、API-KEY进行管理，开通功能特性（例如应用观测）和支付预付费类订单。

使用主账号：开通阿里云百炼后，系统会自动将您的主账号添加为默认业务空间的成员，并赋予超级管理员角色（拥有对主账号下所有业务空间及数据的访问和管理权限），该角色全局唯一且不可更改。接下来，您即可直接开始使用阿里云百炼。

使用RAM用户或RAM角色：注册新用户和授权步骤如下。

使用RAM用户

步骤	说明
第一步：创建一个RAM用户	创建一个RAM用户
第二步：获取阿里云百炼的数据层权限	请使用开通阿里云百炼的主账号将您的RAM用户添加为相应业务空间的成员。相应业务空间中已拥有管控层权限的成员也可以为您操作本步骤。成员添加后通常秒级内生效（高峰期可能会稍有延迟），生效后您的RAM用户即可登录被授权访问的业务空间。重要关于模型授权（子业务空间成员需要关注）默认业务空间的成员无须模型授权，可直接跳过本说明。子业务空间（非默认业务空间）成员能否调用、训练和部署某个模型（例如通义千问-Plus）取决于该业务空间是否拥有此模型的调用、训练和部署权限，需为该业务空间进行模型授权（若该业务空间先前已授权过，无需重复授权）。重要关于知识库和API授权若您的RAM用户需要使用知识库，或希望通过API使用数据管理、Prompt工程及长期记忆等功能，需获取授予数据权限。
第三步（可选）：获取阿里云百炼的管控层权限	若您的RAM用户需要添加其他账号，并进行账号管理和授权，需获取管控层权限。
下一步	开始使用阿里云百炼

使用RAM角色

步骤	说明
第一步：创建一个RAM用户并分配RAM角色	具体操作，请参见RAM角色登录并使用百炼中的步骤一至步骤三。
第二步：获取百炼的数据层权限	请使用开通阿里云百炼的主账号将您的RAM角色添加为相应业务空间的成员。具体操作，请参见RAM角色登录并使用百炼中的步骤四。相应业务空间中已拥有管控层权限的成员也可以为您操作本步骤。成员添加后通常秒级内生效（高峰期可能会稍有延迟），生效后您的RAM用户即可通过扮演RAM角色登录被授权的业务空间。重要关于模型授权（子业务空间成员需要关注）默认业务空间的成员无须模型授权，可直接跳过本说明。子业务空间（非默认业务空间）成员能否调用、训练和部署某个模型（例如通义千问-Plus）取决于该业务空间是否拥有此模型的调用、训练和部署权限，需为该业务空间进行模型授权（若该业务空间先前已授权过，无需重复授权）。重要关于知识库和API授权若您的RAM角色需要使用知识库，或希望通过API使用数据管理、Prompt工程及长期记忆等功能，需获取数据权限。具体操作，请参见RAM角色登录并使用百炼中的步骤五。
第三步（可选）：获取百炼的管控层权限	若您的RAM角色需要添加其他账号，并进行账号管理和授权，需获取管控层权限。具体操作，请参见RAM角色登录并使用百炼中的步骤六。
下一步	开始使用百炼

常见问题

为什么我找不到创建业务空间的入口/进入账号管理的入口？

请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置阿里云百炼的管控层权限。

使用RAM用户（或RAM角色）时，如何查看我的阿里云百炼账单？

对于RAM用户（或RAM角色），目前不支持查看特定产品（例如阿里云百炼）的账单。如果需要查看所有产品的账单，请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置AliyunBSSReadOnlyAccess系统策略。具体操作步骤，RAM用户请参见为RAM用户授权，RAM角色请参见为RAM角色授权。

在支付阿里云百炼预付费订单时遇到bss:PayOrder报错，应该如何处理？

请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置AliyunBSSOrderAccess系统策略和阿里云百炼的管控层权限（从AliyunBailianFullAccess、AliyunBailianReadOnlyAccess、AliyunBailianControlFullAccess、AliyunBailianControlReadOnlyAccess中四选一）。具体操作步骤，RAM用户请参见为RAM用户授权，RAM角色请参见为RAM角色授权。

在开通模型调用服务时遇到ORD_T_INVOKE_ACD_ERROR报错，应该如何处理？

阿里云百炼控制台分为中国站和国际站，国际站（alibabacloud.com）的阿里云账号无法设置中国区域，请登录国际站的阿里云百炼控制台后重试。

遇到报错子账号无操作权限AliyunSFMFullAccess/AliyunBailianFullAccess，应该如何处理？

请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置AliyunBailianFullAccess系统策略。具体操作步骤，RAM用户请参见为RAM用户授予管控层权限，RAM角色请参见为RAM角色授予阿里云百炼管控层权限。

遇到报错You are not authorized to do this operation. Action: sfm:CreateSession，应该如何处理？

请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置AliyunBailianDataFullAccess系统策略（AliyunBailianDataReadOnlyAccess不可以）。具体操作步骤，RAM用户请参见为RAM用户授予数据权限，RAM角色请参见为RAM角色授予数据权限。

遇到报错NoPermisson，sfm:GetXtraceSIrStatus，应该如何处理？

请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置AliyunRAMFullAccess、AliyunTracingAnalysisFullAccess和AliyunBailianFullAccess系统策略。具体操作步骤，RAM用户请参见为RAM用户授权，RAM角色请参见为RAM角色授权。

遇到报错NoPermission，sfm:GetRetrievePromptPipelineMaxLimit，应该如何处理？

使用RAM用户（或RAM角色）时，首次开通模型调用、应用观测等功能时需要哪些RAM权限？

功能名称	需要开通的RAM权限
模型调用	请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置`AliyunBailianFullAccess`系统策略（其它管控层权限不可以）。具体操作步骤，RAM用户请参见为RAM用户授予管控层权限，RAM角色请参见为RAM角色授予阿里云百炼管控层权限。
应用观测	请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置`AliyunBailianFullAccess`（其它管控层权限不可以）、`AliyunRAMFullAccess`和`AliyunTracingAnalysisFullAccess`系统策略。具体操作步骤，RAM用户请参见为RAM用户授权，RAM角色请参见为RAM角色授权。
支付预付费订单	请使用主账号在RAM控制台中为您的RAM用户（或RAM角色）配置`AliyunBSSOrderAccess`系统策略与百炼的管控层权限（从`AliyunBailianFullAccess`、`AliyunBailianReadOnlyAccess`、`AliyunBailianControlFullAccess`、`AliyunBailianControlReadOnlyAccess`中四选一）。具体操作步骤，RAM用户请参见为RAM用户授权，RAM角色请参见为RAM角色授权。