权限管理
阿里云账号(主账号)及其下的RAM用户(子账号)可以共同使用百炼,并且您可以根据不同子账号的职能,为它们配置相应的业务空间、功能及模型权限,从而降低安全风险。
业务空间:百炼允许您同时管理多个业务空间并将您的RAM用户添加为相应业务空间的成员,适用于公司内部或者与生态伙伴共同使用百炼,用来隔离公司部门和集成商之间的数据。
账号说明
百炼权限管理体系介绍
百炼权限可分为数据层权限(允许使用或调用百炼,属于基础权限)和管控层权限(允许对百炼进行全局管理,属于高级权限)。关于两者的详细说明和区别,请参见下方示意图和表格。
开通百炼的主账号默认拥有全部数据层权限和管控层权限。
权限分类 | 权限说明 | 如何获取权限 |
数据层权限 | 指定用户可以访问哪些业务空间,以及可以使用业务空间中的哪些功能。 |
|
管控层权限 | 是否允许用户管理百炼,包括: |
|
一般来说,如果用户(RAM用户或RAM角色,非主账号)仅需使用授权的百炼功能、API和大模型,则只需拥有数据层权限;若用户还需要对百炼的业务空间、账号、API-KEY进行管理,或者为其他用户开通百炼功能特性(例如应用观测),则必须同时拥有数据层权限和管控层权限。
开通百炼并注册新用户流程
步骤一:开通百炼
请使用阿里云账号(主账号)开通百炼。
步骤二:注册新用户
开通服务后,您可以选择通过主账号、RAM用户(或RAM角色)使用百炼。两者的区别在于:RAM用户(或RAM角色)必须获得主账号的授权才能管理百炼业务空间/账号/API-KEY、开通百炼功能特性(例如应用观测)和支付预付费类订单。
使用主账号:开通百炼后,即已拥有全部权限,可以直接开始使用百炼,无需其它操作。
使用RAM用户或RAM角色:注册新用户和授权步骤如下。
使用RAM用户
步骤
说明
第一步:创建一个RAM用户
需要超级管理员(开通百炼的主账号)创建一个新的RAM用户。
第二步:获取百炼的数据层权限
需要超级管理员将您的RAM用户添加为相应业务空间的成员。
相应业务空间中已拥有管控层权限的成员也可以为您操作本步骤。
成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后您的RAM用户即可登录被授权访问的业务空间。
重要关于模型授权(子业务空间成员需要关注)
默认业务空间的成员无须模型授权,可直接跳过本说明。
子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用权限,需要超级管理员为该业务空间进行模型授权(若该业务空间先前已授权过,无需重复授权)。
第三步(可选):获取百炼的管控层权限
下一步
使用RAM角色
步骤
说明
第一步:创建一个RAM用户并分配RAM角色
需要超级管理员(开通百炼的主账号)创建一个新的RAM用户并分配RAM角色。具体操作,请参见RAM角色登录并使用百炼中的步骤一至步骤三。
第二步:获取百炼的数据层权限
需要超级管理员将您的RAM角色添加为相应业务空间的成员。具体操作,请参见RAM角色登录并使用百炼中的步骤四。
相应业务空间中已拥有管控层权限的成员也可以为您操作本步骤。
成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后您的RAM用户即可以扮演的角色登录被授权访问的业务空间。
重要关于模型授权(子业务空间成员需要关注)
默认业务空间的成员无须模型授权,可直接跳过本说明。
子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用权限,需要超级管理员为该业务空间进行模型授权(若该业务空间先前已授权过,无需重复授权)。
重要关于知识库和API授权
若您的RAM用户需要使用知识库,或希望通过API使用数据管理、Prompt工程及长期记忆等功能,则还需要超级管理员为您的RAM角色授予数据权限。具体操作,请参见RAM角色登录并使用百炼中的步骤五。
第三步(可选):获取百炼的管控层权限
若您的RAM用户需要使用百炼的主账号管理功能对百炼进行全局管理,则需要超级管理员为您的RAM角色授予管控层权限。具体操作,请参见RAM角色登录并使用百炼中的步骤六。
下一步