权限管理

更新时间: 2025-02-14 15:31:59

阿里云账号(主账号)及其下的RAM用户(子账号)可以共同使用百炼,并且您可以根据不同子账号的职能,为它们配置相应的业务空间、功能及模型权限,从而降低安全风险。

业务空间:百炼允许您同时管理多个业务空间并将您的RAM用户添加为相应业务空间的成员,适用于公司内部或者与生态伙伴共同使用百炼,用来隔离公司部门和集成商之间的数据。

账号说明

  • 阿里云账号:即主账号,默认可以创建RAM用户,并对RAM用户进行管理、授权等。

  • RAM用户:即子账号,可由主账号或拥有特定系统策略的RAM用户在RAM控制台中创建、管理并进行授权,实现不同RAM用户拥有不同资源访问权限的目的。详细了解RAM用户

百炼权限管理体系介绍

百炼权限可分为数据层权限(允许使用或调用百炼,属于基础权限)和管控层权限(允许对百炼进行全局管理,属于高级权限)。关于两者的详细说明和区别,请参见下方示意图和表格。

开通百炼的主账号默认拥有全部数据层权限和管控层权限。

image

权限分类

权限说明

如何获取权限

数据层权限

指定用户可以访问哪些业务空间,以及可以使用业务空间中的哪些功能。

管控层权限

是否允许用户管理百炼,包括:

  • 创建以及编辑某个业务空间的权限。

    百炼暂不支持删除业务空间。
  • 添加、删除、编辑以及查看某个业务空间下全部成员的权限。

  • 创建、删除和查看某个业务空间下全部API-KEY的权限。

  • 首次开通百炼功能特性的权限(例如应用观测和支付预付费类订单所必须的基础权限。了解还需要哪些权限

  • 主账号:开通百炼的主账号默认拥有管控层权限。

  • RAM用户(或RAM角色):详见获取百炼的管控层权限

    重要

    请注意,对RAM用户(或RAM角色)而言,拥有管控层权限并不代表可以直接访问和使用某个业务空间,必须为该用户添加数据层权限(前提),用户才可以访问、使用和管理业务空间。详见上方数据层权限说明。

重要

一般来说,如果用户(RAM用户或RAM角色,非主账号)仅需使用授权的百炼功能、API和大模型,则只需拥有数据层权限;若用户还需要对百炼的业务空间、账号、API-KEY进行管理,或者为其他用户开通百炼功能特性(例如应用观测,则必须同时拥有数据层权限和管控层权限

开通百炼并注册新用户流程

步骤一:开通百炼

请使用阿里云账号(主账号)开通百炼。
  1. 注册账号:如果没有阿里云账号(主账号),您需要先注册一个阿里云账号(主账号)并完成实名认证

  2. 开通百炼:访问百炼控制台,阅读并同意阿里云百炼服务协议后将自动开通百炼服务。系统会默认为您创建一个百炼业务空间,您可以直接使用。此外,您还将被设置为超级管理员角色(全局唯一且不可更改),拥有您账号下全部业务空间及数据的访问和管理权限。

步骤二:注册新用户

开通服务后,您可以选择通过主账号、RAM用户(或RAM角色)使用百炼。两者的区别在于:RAM用户(或RAM角色)必须获得主账号的授权才能管理百炼业务空间/账号/API-KEY、开通百炼功能特性(例如应用观测和支付预付费类订单。

  • 使用主账号:开通百炼后,即已拥有全部权限,可以直接开始使用百炼,无需其它操作。

  • 使用RAM用户或RAM角色:注册新用户和授权步骤如下。

    使用RAM用户

    步骤

    说明

    第一步:创建一个RAM用户

    需要超级管理员(开通百炼的主账号)创建一个新的RAM用户

    第二步:获取百炼的数据层权限

    需要超级管理员将您的RAM用户添加为相应业务空间的成员

    相应业务空间中已拥有管控层权限的成员也可以为您操作本步骤。
    成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后您的RAM用户即可登录被授权访问的业务空间。
    重要

    关于模型授权(子业务空间成员需要关注)

    默认业务空间的成员无须模型授权,可直接跳过本说明。

    子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用权限,需要超级管理员为该业务空间进行模型授权(若该业务空间先前已授权过,无需重复授权)。

    重要

    关于知识库和API授权

    若您的RAM用户需要使用知识库,或希望通过API使用数据管理、Prompt工程及长期记忆等功能,则还需要超级管理员为您的RAM用户授予数据权限

    第三步(可选):获取百炼的管控层权限

    若您的RAM用户需要使用百炼的主账号管理功能对百炼进行全局管理,则需要超级管理员为您的RAM用户授予管控层权限

    下一步

    开始使用百炼

    使用RAM角色

    步骤

    说明

    第一步:创建一个RAM用户并分配RAM角色

    需要超级管理员(开通百炼的主账号)创建一个新的RAM用户并分配RAM角色。具体操作,请参见RAM角色登录并使用百炼中的步骤一至步骤三。

    第二步:获取百炼的数据层权限

    需要超级管理员将您的RAM角色添加为相应业务空间的成员。具体操作,请参见RAM角色登录并使用百炼中的步骤四。

    相应业务空间中已拥有管控层权限的成员也可以为您操作本步骤。
    成员添加后通常秒级内生效(高峰期可能会稍有延迟),生效后您的RAM用户即可以扮演的角色登录被授权访问的业务空间。
    重要

    关于模型授权(子业务空间成员需要关注)

    默认业务空间的成员无须模型授权,可直接跳过本说明。

    子业务空间(非默认业务空间)成员能否调用、训练和部署某个模型(例如通义千问-Plus)取决于该业务空间是否拥有此模型的调用权限,需要超级管理员为该业务空间进行模型授权(若该业务空间先前已授权过,无需重复授权)。

    重要

    关于知识库和API授权

    若您的RAM用户需要使用知识库,或希望通过API使用数据管理、Prompt工程及长期记忆等功能,则还需要超级管理员为您的RAM角色授予数据权限。具体操作,请参见RAM角色登录并使用百炼中的步骤五。

    第三步(可选):获取百炼的管控层权限

    若您的RAM用户需要使用百炼的主账号管理功能对百炼进行全局管理,则需要超级管理员为您的RAM角色授予管控层权限。具体操作,请参见RAM角色登录并使用百炼中的步骤六。

    下一步

    开始使用百炼

常见问题

使用RAM用户(或RAM角色)时,为什么我找不到创建业务空间的入口/进入主账号管理的入口?

请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置百炼的管控层权限

配置前效果

配置后效果

image

image

使用RAM用户(或RAM角色)时,如何查看我的百炼账单?

对于RAM用户(或RAM角色),目前不支持查看特定产品(例如百炼)的账单。如果需要查看所有产品的账单,请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBSSReadOnlyAccess系统策略。

使用RAM用户(或RAM角色)时,在支付百炼预付费订单时遇到bss:PayOrder报错,应该如何处理?

image

请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBSSOrderAccess系统策略和百炼的管控层权限(从AliyunBailianFullAccessAliyunBailianReadOnlyAccessAliyunBailianControlFullAccessAliyunBailianControlReadOnlyAccess中四选一)。

使用RAM用户(或RAM角色)时,在开通模型调用服务时遇到AliyunSFMFullAccess/AliyunBailianFullAccess报错,应该如何处理?

image

请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBailianFullAccess系统策略。

使用RAM用户(或RAM角色)时,在开通应用观测时遇到NoPermisson,sfm:GetXtraceSIrStatus报错,应该如何处理?

image

请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunRAMFullAccessAliyunTracingAnalysisFullAccessAliyunBailianFullAccess系统策略。

使用RAM用户(或RAM角色)时,首次开通模型调用、应用观测等功能时需要哪些RAM权限?

功能名称

需要开通的RAM权限

模型调用

请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBailianFullAccess系统策略(其它管控层权限不可以)。

应用观测

请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBailianFullAccess(其它管控层权限不可以)、AliyunRAMFullAccessAliyunTracingAnalysisFullAccess系统策略。

支付预付费订单

请使用主账号在RAM控制台中为您的RAM用户(或RAM角色)配置AliyunBSSOrderAccess系统策略与百炼的管控层权限(从AliyunBailianFullAccessAliyunBailianReadOnlyAccessAliyunBailianControlFullAccessAliyunBailianControlReadOnlyAccess中四选一)。

上一篇: API KEY 下一篇: 用户管理
阿里云首页 大模型服务平台百炼 相关技术圈