阿里云百炼支持主账号与RAM用户(子账号)协同工作。为不同子账号精细地配置权限,如他们可使用的业务空间、可操作的功能以及可调用的模型,可降低安全风险。
业务空间:当主账号下有多个业务或项目在使用阿里云百炼,并且您需要对它们分别进行管理(比如管控各自可调用的模型、隔离彼此的应用和数据等),可将它们各自划分至独立的业务空间。
账号说明
您可使用以下两种账号登录阿里云百炼:
阿里云账号:即主账号,默认拥有最高权限,可以创建和管理RAM用户/角色,并对RAM用户/角色进行授权。
RAM用户/角色:即子账号,通常由主账号创建,需主账号授权后才能使用和管理阿里云百炼。详细了解RAM用户
使用入门
方式一:主账号使用百炼(适合个人使用)
方式二:子账号使用百炼(适合团队协作)
开通阿里云百炼:需使用主账号或联系主账号所有人操作(步骤同上方的方式一)。
添加为业务空间成员并授权:无论是 RAM 用户还是 RAM 角色,均需主账号完成以下授权,才能正常使用阿里云百炼。
使用RAM用户
步骤
说明
第一步:添加为业务空间成员
RAM用户必须先加入某个业务空间,才能访问和使用阿里云百炼。
成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可登录被授权访问的业务空间。
第二步:获取阿里云百炼的操作权限
在加入的业务空间内,RAM用户默认拥有除系统管理、权限管理及密钥管理外所有功能页面的只读类权限(如查看),“操作”指在此基础上进一步授予写入类权限(如新建、删除和编辑)。
重要关于模型授权(子业务空间成员需要关注)
默认业务空间的成员无须模型授权,可直接跳过本说明。
子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。
第三步(可选):获取阿里云百炼的管理权限
若RAM用户需跨业务空间进行全局管理(如管理所有业务空间、成员、API-KEY),则还需获取管理权限(全局管理)。
下一步
使用RAM角色
步骤
说明
第一步:添加为业务空间成员
RAM角色必须先加入某个业务空间,才能访问和使用阿里云百炼。详见RAM角色登录并使用阿里云百炼中的步骤一至步骤四。
成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后RAM用户即可通过扮演该RAM角色登录被授权的业务空间。
第二步:获取阿里云百炼的操作权限
在加入的业务空间内,RAM角色默认拥有除系统管理、权限管理及密钥管理外所有功能页面的只读类权限(如查看),“操作”指在此基础上进一步授予写入类权限(如新建、删除和编辑)。详见RAM角色登录并使用阿里云百炼中的步骤四。
重要关于模型授权(子业务空间成员需要关注)
默认业务空间的成员无须模型授权,可直接跳过本说明。
子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用、训练和部署权限,详见模型授权(若该业务空间先前已授权过,无需重复授权)。
重要关于API授权
RAM角色如需调用应用数据、知识库、Prompt工程及长期记忆等功能的接口,需获取API权限。详见RAM角色登录并使用百炼中的步骤五。
第三步(可选):获取阿里云百炼的管理权限
若RAM角色需跨业务空间进行全局管理(如管理所有业务空间、成员、API-KEY),则还需获取管理权限。详见RAM角色登录并使用百炼中的步骤六。
下一步
典型示例
以下是一些典型团队协作场景及其权限配置方案。
场景一:开发者
需求:在项目A业务空间内开发AI应用、调用模型及优化Prompt,但不能管理项目成员或访问其他项目。
解决方案:
创建RAM用户:为该开发者创建一个独立的RAM用户。
授予操作权限:将其RAM用户添加到项目A的业务空间,并授予所需的操作(控制台页面)权限及可调用的功能接口。
场景二:团队管理员
需求:管理所有业务空间、成员和API-KEY,但不直接参与开发(如需参与开发,请参考场景一,将其加入相应业务空间并授予操作权限)。
解决方案:
创建RAM用户:为该团队管理员创建一个独立的RAM用户。
授予管理权限:为该RAM用户授予管理权限(全局管理)。
常见问题
需主账号为RAM用户(或RAM角色)配置AliyunBSSOrderAccess系统策略和阿里云百炼的管理权限。具体操作步骤,RAM用户请参见为RAM用户授权,RAM角色请参见为RAM角色授权。
需主账号为RAM用户(或RAM角色)配置AliyunBailianFullAccess系统策略。具体操作步骤,RAM用户请参见管理权限(全局管理),RAM角色请参见为RAM角色授予阿里云百炼管理权限。
