AI 助理
备案控制台
官方文档
输入文档关键字查找
首页 大模型服务平台百炼 用户指南(模型) 安全合规 权限管理 RAM角色登录并使用阿里云百炼

RAM角色登录并使用百炼

更新时间:
产品详情
我的收藏

如果您的RAM用户(子账号)没有使用或管理阿里云百炼的权限,您可为其配置一个拥有相应权限的RAM角色,此用户即可以该角色的身份使用或管理百炼。

如果您尚不清楚RAM用户、业务空间及权限等相关概念,请先阅读权限管理简介
需使用主账号进行以下操作。如需使用RAM用户,请为该RAM用户配置AliyunRAMFullAccess系统策略,如何配置详见RAM用户授权

背景信息

阿里云百炼支持以下登录方式:

操作步骤

下图展示了从创建RAM用户、授予扮演角色权限到开始使用阿里云百炼的完整流程。

image

步骤一:创建RAM用户

请参考文档创建RAM用户完成RAM用户创建。若目标RAM用户已存在,则无须执行本步骤。

步骤二:创建RAM角色

请选择以下任一方式创建RAM角色:

步骤三:为RAM用户授予扮演角色的权限

重要

若上一步选择通过企业IdP身份提供商账号扮演RAM角色,无须执行本步骤。

创建RAM用户和RAM角色后,您需要为您的RAM用户授予扮演此RAM角色的权限。请选择以下任一方式:

  • 方式一:允许您的RAM用户扮演所有RAM角色。

  • 方式二:仅允许您的RAM用户扮演指定的RAM角色。

推荐方式二,以实现更细粒度的权限控制,不过方式一的配置更为简单。

允许该RAM用户扮演所有RAM角色

  1. RAM控制台的左侧导航栏中,选择身份管理 > 用户

  2. 点击已创建RAM用户右侧操作列中的添加权限

    image

  3. 新增授权界面,资源范围请选择账号级别,然后在权限策略区域的搜索框中搜索并勾选AliyunSTSAssumeRoleAccess系统策略,并点击确认新增授权,完成授权操作。了解如何解除授权

    image

仅允许该RAM用户扮演指定的RAM角色

  1. RAM控制台的左侧导航栏中,选择权限管理 > 权限策略

  2. 点击创建权限策略

    image

  3. 脚本编辑页签中输入如下内容。请务必将下方acs:ram:*:<account-id>:role/<role-name>替换为您在步骤二中创建的角色的ARN。关于如何查看角色ARN,请参见RAM角色和STS Token常见问题

    ARNRAM角色的全局资源描述符,可用于指定具体的RAM角色。
    {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Resource": "acs:ram:*:<account-id>:role/<role-name>"
        }
    ],
    "Version": "1"
}

  4. 点击确定,输入权限策略名称以及备注信息后完成创建。

  5. 将创建好的自定义权限策略授权给RAM用户,该用户即可扮演此RAM角色的权限。具体操作步骤,请参见RAM用户授权

步骤四:为RAM角色授予业务空间权限

重要

需使用主账号或具备管理权限RAM用户操作。

指定该RAM角色可以访问和使用哪些业务空间。

  1. 访问账号管理界面,点击新增用户,配置以下参数。

    若您的RAM角色在账号管理中已存在,可直接点击其右侧操作列的权限编辑进行授权。

    • 类型选择RAM角色

    • RAM角色选择刚创建的RAM角色。

    • 显示名称输入该RAM角色在阿里云百炼中使用的名称。

  2. 点击确定,添加的RAM角色即出现在列表中。

  3. 点击角色右侧的权限管理,然后点击+添加权限,根据向导指引选择要授权的业务空间及可访问的控制台功能页面。

    管理员被授权的角色可操作授权业务空间中除页面右上角image按钮(系统管理页面)以外的所有功能。

  4. 点击完成,授权即生效。

  5. 请参考通过控制台扮演RAM角色,切换RAM用户的身份。切换成功后,扮演被授权的RAM角色登录阿里云百炼控制台,发现已可以正常访问和使用相应的业务空间(可在控制台切换业务空间)。

步骤五(可选):为RAM角色授予API权限

如果您的RAM用户需要调用数据管理、Prompt工程及长期记忆等功能的接口,则还需要为您的RAM角色配置数据权限。

  1. RAM控制台的左侧导航栏中,选择身份管理 > 角色

  2. 单击待授权的角色操作列的新增授权

    image

  3. 资源范围请选择账号级别。在权限策略区域的搜索框中搜索并勾选AliyunBailianDataFullAccessAliyunBailianDataReadOnlyAccess,并点击确认新增授权,完成授权操作。了解如何解除授权

    建议仅分配角色完成其工作所需的最小权限,避免不必要的安全风险。

    系统策略名称

    权限说明

    AliyunBailianDataFullAccess

    可调用API目录下的所有API。

    AliyunBailianDataReadOnlyAccess

    可调用API目录下的只读类API,例如DescribeFileGetIndexJobStatus等。

    无法调用API目录下的增删改类API,例如RetrieveAddFileCreateIndex以及UpdateMemory等。

步骤六(可选):为RAM角色授予阿里云百炼管理权限

若您的RAM用户需要管理主账号下所有阿里云百炼业务空间、账号和API-KEY,则还需要为您的RAM角色配置管理权限

  1. RAM控制台的左侧导航栏中,选择身份管理 > 角色

  2. 点击待授权的角色操作列的新增授权

    image

  3. 资源范围请选择账号级别,在权限策略区域的搜索框中搜索并勾选AliyunBailianFullAccess,并点击确认新增授权,完成授权操作。了解如何解除授权

    image

下一步

开始使用阿里云百炼

上一篇:成员管理下一篇:传输安全