首次使用DLC,需要对DLC服务关联角色进行云资源访问授权。此外,如果您使用OSS作为存储系统,则需要根据业务需求为DLC服务关联角色授予OSS访问权限。本文为您介绍使用DLC时所需的授权操作。
背景信息
操作账号授权
DLC为您提供了模型训练任务创建与提交的平台。您使用DLC创建提交训练任务时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。
PAI子产品:DLC
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行DLC的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表。
依赖的其他云产品:NAS
使用NAS进行数据存储,因此您需要开通NAS并授予对应的权限。
细分场景
场景说明
操作引导链接
开通NAS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通NAS,您需要给该RAM账号授予
AliyunNASFullAccess权限。给RAM用户授权:使用RAM权限策略控制NAS访问权限
常见操作:创建NAS文件系统
使用NAS
后续使用NAS时:
授权:NAS提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建NAS文件系统,便于后续挂载至PAI的子产品资源实例中。
依赖的其他云产品:OSS
数据存储依赖OSS,因此您需要开通OSS并授予对应的权限。
细分场景
场景说明
操作引导链接
开通OSS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予
AliyunOSSFullAccess权限。开通:开通OSS服务
给RAM用户授权:RAM Policy
常见操作:控制台创建存储空间
使用OSS
后续使用OSS时:
授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。
PAI服务账号授权
为阿里云账号(主账号)授权DLC通用权限
为确保DLC能正常提供服务,您需要确认当前操作阿里云账号拥有DLC通用权限。通常在开通PAI并创建默认工作空间时,会统一进行授权操作。您可以根据下文参考:检查账号是否关联AliyunPAIDLCDefaultRole这一角色来检查当前账号是否已经具有DLC通用权限。如果没有,您可以参考下文单独进行授权操作。
登录PAI控制台,在页面上方选择目标地域,并在右侧选择目标工作空间,然后单击进入DLC。
授权
AliyunPAIDLCDefaultRole角色。单击前往授权。
在云资源访问授权页面,单击同意授权,等待界面提示授权成功。
为AliyunPAIDLCDefaultRole角色添加AliyunOSSFullAccess权限。
完成上述授权后,操作账号即已具备DLC的默认角色权限。在此基础上,您还需再添加OSS的操作权限,保障DLC功能的正常使用。具体操作如下。
在RAM控制台的页面,查找AliyunPAIDLCDefaultRole角色。
单击AliyunPAIDLCDefaultRole角色操作列下的新增授权。
在新增授权面板,配置参数。
参数
描述
资源范围
选择账号级别。系统支持的两种授权范围区别如下:
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
授权主体
授权主体即需要授权的RAM角色,系统会自动填入当前的RAM角色,您无需修改。
权限策略
在文本框中输入OSS进行搜索,根据实际情况,在搜索结果中选择合适的权限策略进行授权。选中的权限策略会显示在右侧的已选择列表中。
说明上图示例中虽然使用的AliyunOSSFullAccess,但是实际权限策略应遵循最小化原则。
单击确认新增授权。
为
AliyunPAIDLCDefaultRole角色添加PaiDlcOAuthPolicy权限,保障DLC功能的正常使用,具体操作如下。在RAM控制台的页面,单击创建权限策略,来自定义权限策略PaiDlcOAuthPolicy。其中关键参数配置如下,具体操作请参见通过脚本编辑模式创建自定义权限策略。
参数
描述
脚本编辑
在脚本编辑页签,输入以下权限策略内容。
{ "Version": "1", "Statement": [ { "Action": [ "ram:GetDefaultDomain", "ram:ListApplications", "ram:CreateApplication", "ram:ListAppSecretIds", "ram:GetAppSecret", "ram:CreateAppSecret", "ram:DeleteApplication", "ram:DeleteAppSecret" ], "Resource": [ "*" ], "Effect": "Allow" } ] }名称
配置为PaiDlcOAuthPolicy。
在页面,单击AliyunPAIDLCDefaultRole角色操作列下的新增授权。
在新增授权面板,按照下图操作指引,添加PaiDlcOAuthPolicy权限策略。
检查授权结果。
完成上述操作后,您需要单击AliyunPAIDLCDefaultRole,检查该角色的权限策略是否正确。
PAI访问云产品授权:OSS与NAS
授权PAI访问相关云产品OSS、NAS时,PAI为您提供了一键授权入口,操作详情如下:
登录PAI控制台。
在左侧导航栏单击,在DLC功能模块下找到OSS、NAS。
在操作列查看OSS的授权状态。
如果还未授权,请单击操作列下的一键授权,根据界面提示完成授权操作。
如果已完成授权,可单击操作列下的查看授权信息,查看授权的详细信息。
参考:检查账号是否关联AliyunPAIDLCDefaultRole这一角色
为确保DLC能正常提供服务,您需要确认当前阿里云账号拥有AliyunPAIDLCDefaultRole这一服务角色。具体操作步骤如下。
仅主账号可以进行授权,RAM用户无法授权。
登录RAM控制台。
在左侧导航栏,单击身份管理>角色。
在角色页面的搜索框中,输入AliyunPAIDLCDefaultRole,进行搜索。
如果搜索到了该角色,则表示已经授权了DLC服务角色。
如果没有搜索到该角色,则需进行授权操作。具体操作,请参见为阿里云账号(主账号)授权DLC通用权限。
相关文档
完成授权操作后,您可以创建DLC任务进行模型训练。具体操作,请参见创建训练任务。