阿里云账号(主账号)及其下的RAM用户(子账号)可以共同使用阿里云百炼,并且您可以根据不同子账号的职能,为它们配置相应的业务空间、功能及模型权限,从而降低安全风险。
业务空间:如果您的主账号下有多个业务或场景在使用阿里云百炼,并且您需要对它们分别进行管理(比如管控各自可调用的模型、隔离彼此的应用和数据等),可将它们各自划分至独立的业务空间。
账号说明
要开始使用阿里云百炼,您需要先获取一个阿里云账号并完成登录。您可以选择以下两种账号类型:
阿里云百炼权限管理体系介绍
阿里云百炼权限分为操作权限和管理权限,两者互不重叠。
权限分类 | 权限说明 | 如何获取权限 |
操作权限 | 指定用户可访问的业务空间,以及在相应空间内可操作的控制台页面与可调用的功能接口。 可操作:在所属业务空间内,成员默认拥有除系统管理、权限管理及密钥管理外所有功能页面的只读类权限(如查看),“可操作”指在此基础上进一步授予写入类权限(如新建、删除和编辑)。 |
|
管理权限 | 允许用户对阿里云百炼进行全局管理,包括:
|
|
一般来说,如果用户(RAM用户或RAM角色)仅需使用授权的阿里云百炼功能,则只需拥有操作权限;如需管理阿里云百炼的业务空间、账号及所有成员的API-KEY,则必须同时拥有操作权限和管理权限。
开通阿里云百炼并注册新用户流程
步骤一:开通阿里云百炼
请使用阿里云账号(主账号)开通阿里云百炼。
步骤二:注册新用户
开通服务后,您可以选择通过主账号、RAM用户(或RAM角色)使用阿里云百炼。二者的区别在于:RAM用户(或RAM角色)需主账号授权才能访问、使用业务空间及管理阿里云百炼。
使用主账号:开通阿里云百炼后,您的账号将自动加入默认业务空间并获得全局最高权限(管理权限和所有操作权限),您可以直接开始使用阿里云百炼。
使用RAM用户或RAM角色:注册新用户和授权步骤如下。
请使用开通阿里云百炼的主账号操作。
使用RAM用户
步骤
说明
第一步:创建一个RAM用户
第二步:获取阿里云百炼的操作权限
将RAM用户添加为相应业务空间的成员。
成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可登录被授权访问的业务空间。
重要关于模型授权(子业务空间成员需要关注)
默认业务空间的成员无须模型授权,可直接跳过本说明。
子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。
第三步(可选):获取阿里云百炼的管理权限
若RAM用户需要添加其他账号,并进行账号管理和授权,需获取管理权限。
下一步
使用RAM角色
步骤
说明
第一步:创建一个RAM用户并分配RAM角色
详见RAM角色登录并使用阿里云百炼中的步骤一至步骤三。
第二步:获取阿里云百炼的操作权限
请使用开通阿里云百炼的主账号将您的RAM角色添加为相应业务空间的成员。详见RAM角色登录并使用阿里云百炼中的步骤四。
在相应业务空间中拥有
管理员-操作权限的成员也可为您操作。成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可通过扮演您的RAM角色登录被授权的业务空间。
重要关于模型授权(子业务空间成员需要关注)
默认业务空间的成员无须模型授权,可直接跳过本说明。
子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。
重要关于知识库和API授权
RAM角色如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口,需获取API权限。详见RAM角色登录并使用百炼中的步骤五。
第三步(可选):获取阿里云百炼的管理权限
若RAM角色需要添加其他账号,并进行账号管理和授权,需获取管理权限。详见RAM角色登录并使用百炼中的步骤六。
下一步
常见问题
请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBSSOrderAccess系统策略和阿里云百炼的管理权限。具体操作步骤,RAM用户请参见为RAM用户授权,RAM角色请参见为RAM角色授权。
请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBailianFullAccess系统策略。具体操作步骤,RAM用户请参见管理权限,RAM角色请参见为RAM角色授予阿里云百炼管理权限。
