RAM用户可以切换到被许可扮演的RAM角色,然后以角色身份访问百炼业务空间。
步骤1:创建RAM用户
如果已经存在RAM用户,请跳过本步骤。
请参考文档创建RAM用户完成RAM用户创建。
步骤2:创建RAM角色
通过以下任一方式创建RAM角色:
如需解决跨账号访问和临时授权问题,请参考文档创建可信实体为阿里云账号的RAM角色。
如需实现企业IdP与阿里云的单点登录(角色SSO),请参考文档创建可信实体为身份提供商的RAM角色。
步骤3:为RAM角色授予百炼管控权限
本文档以管控权限作为示例,请以实际情况为准。
使用阿里云账号(主账号)或RAM管理员登录RAM访问控制台。
在左侧导航栏,单击。
单击待授权的角色操作列的新增授权。在权限策略区域的搜索框中搜索并勾选AliyunBailianControlFullAccess,并单击确认新增授权,完成授权操作。
步骤4:为RAM用户授予角色扮演的权限
方式一:允许该RAM用户扮演所有RAM角色:为RAM用户添加系统策略
AliyunSTSAssumeRoleAccess。方式二:允许该RAM用户扮演指定RAM角色:为RAM用户添加自定义策略。
使用阿里云账号(主账号)或RAM管理员登录RAM访问控制台。
在左侧菜单栏,选择,单击创建权限策略。
在脚本编辑页签中输入如下内容。将
acs:ram:*:<account-id>:role/<role-name>替换为角色RAN。关于如何查看角色ARN,请参见RAM角色和STS Token常见问题。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Resource": "acs:ram:*:<account-id>:role/<role-name>" } ], "Version": "1" }单击继续编辑基本信息,设置权限策略名称以及备注信息,单击确定,完成创建。
将上述自定义策略授权给RAM用户,便可以指定具体可以扮演的RAM角色。关于如何为RAM用户授权,请参见为RAM用户授权。
步骤5:RAM用户扮演RAM角色
请参考通过控制台扮演RAM角色,切换RAM用户的身份。切换成功后,RAM用户将以RAM角色身份登录百炼控制台。此时RAM用户已具有该RAM角色身份被授权(AliyunBailianControlFullAccess)的所有操作,即RAM用户已经拥有管理百炼业务空间、账号和API Key的权限。
步骤6:为RAM角色授予业务空间访问权限
使用具有管控权限的账号登录阿里云百炼控制台。
将鼠标悬停于右上角
,选择主账号管理。在左侧导航栏,单击账号管理,然后单击新增用户,配置以下参数。
类型:选择“RAM角色”。
RAM角色:选择刚才创建的RAM角色。
单击保存,继续配置权限。
单击权限,选择业务空间、角色。
单击确定,完成授权。
步骤7:结果验证
扮演被授权角色的RAM用户可以在控制台左上角切换到已授权的业务空间。
如需在已授权的业务空间内使用模型训练、模型部署及模型调用功能,还需要进行模型授权。具体操作请参见模型授权操作说明。