文档

云产品依赖与授权:Designer

更新时间:

PAI为您提供多个功能模块,并联合MaxCompute、DataWorks、Flink、通用训练资源、OSS等阿里云产品为您提供一站式的机器学习解决方案。使用Designer进行建模时,您需要授予操作账号使用Designer功能所需的操作权限,同时需要授予PAI访问相关云产品的权限,以保障功能安全顺利地使用。本文为您介绍使用Designer时所需的授权操作。

背景信息

使用Designer依赖OSS,同时可能会依赖MaxCompute、Flink或通用训练资源。您可以按照以下场景判断是否需要进行相关产品的授权。

  • MaxCompute:Designer中提供了上百种基于MaxCompute框架实现的阿里自研算法。

  • Flink:Designer中提供了可以在Flink执行的算法组件,例如:PyAlink脚本

  • OSS:训练过程中各种中间数据、训练模型需要依赖OSS进行存储。建议您提前做好开通和授权操作。

  • 通用训练资源:Designer中提供了基于通用训练资源进行训练的深度学习算法,且自定义Python脚本组件也依赖通用训练资源,推荐您在使用前进行开通和授权。

说明

您可以登录PAI控制台后单击开通和授权 > 全部云产品依赖查看各功能模块依赖的云产品及授权详情。

因此,在使用Designer之前,您需要为操作账号授权Designer、MaxCompute、通用训练资源、Flink和OSS所需的操作权限,同时还需要为PAI授权访问OSS的权限。如需完整使用Designer的全部功能,请按照以下链接进行授权。

操作账号授权

Designer提供界面化的、端到端的机器学习全链路开发环境,并内置了丰富且成熟的机器学习算法。您使用Designer进行模型开发时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。

  • PAI子产品:Designer

    操作账号类型

    使用场景

    操作引导链接

    主账号

    主账号可直接进行Designer的所有操作,无需额外授权。

    不涉及

    RAM账号

    (推荐)

    PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往角色与权限列表页面

    image..png

    管理工作空间成员

  • 依赖的其他PAI子产品:通用计算资源

    使用Designer进行AI开发时,您需要准备对应开发所需的计算资源,您可以使用PAI的通用AI计算资源。

    通用AI计算资源的购买操作建议使用主账号,RAM账号操作时需被授予AliyunPAIFullAccess权限。权限要求详情请参见开通PAI及购买PAI资源

    当授权RAM用户提交训练任务到与工作空间关联的通用计算资源时,您需要在对应工作空间中为RAM用户添加算法开发算法运维管理员角色,操作详情请参见管理工作空间成员

  • 依赖的其他云产品:MaxCompute

    Designer中提供上百种基于MaxCompute框架实现的自研算法,如果需要使用相关算法您就需要开通MaxCompute,您可以在使用过程中遇到提示按需开通。

    细分场景

    场景说明

    操作引导链接

    开通MaxCompute

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通MaxCompute,则需要给RAM账号授予AliyunBSSOrderAccessAliyunDataWorksFullAccess权限。

    使用MaxCompute

    由于PAI在底层与MaxCompute已做了权限对接,因此在使用Designer时依赖MaxCompute时,无需对MaxCompute进行细节授权操作,可直接将RAM账号添加为PAI工作空间开发角色的成员即可。

  • 依赖的其他云产品:OSS

    使用深度学习算法组件时,依赖OSS数据源,因此您需要开通OSS并授予对应的权限。

    细分场景

    场景说明

    操作引导链接

    开通OSS

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予AliyunOSSFullAccess权限。

    使用OSS

    后续使用OSS时:

    • 授权:OSS提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。

    • 常见操作:通常需要创建一个bucket,便于后续上传文件至OSS。

    授权操作账号对OSS的操作权限时,支持通过自定义策略灵活定义RAM用户在PAI控制台中对OSS数据的访问权限。详细步骤如下。

    1. 登录RAM控制台

    2. 在左侧导航栏,选择权限管理 > 权限策略

    3. 权限策略页面,单击创建权限策略

    4. 创建权限策略页面,单击脚本编辑页签。

    5. 输入权限策略内容,然后单击继续编辑基本信息

      OSS提供了完整的数据权限管控体系,完整的OSS授权策略请参见RAM Policy概述

      重要

      请根据RAM用户需要使用的权限,谨慎定义权限策略。

      在PAI控制台上使用OSS通常涉及列出自己已有权限的Bucket、读写数据等常规操作。建议阿里云账号参考如下自定义权限策略,为需要在PAI控制台上操作的RAM用户进行权限配置。

      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "oss:GetObject",
              "oss:ListObjects",
              "oss:DeleteObject",
              "oss:ListParts",
              "oss:PutObject",
              "oss:AbortMultipartUpload",
              "oss:GetBucketCors",
              "oss:GetBucketCors",
              "oss:DeleteBucketCors"
            ],
            "Resource": [
              "acs:oss:*:*:<yourBucketName>",
              "acs:oss:*:*:<yourBucketName>/*"
            ],
            "Effect": "Allow"
          },
          {
            "Action": [
              "oss:ListBuckets"
            ],
            "Resource": "*",
            "Effect": "Allow"
          }
        ]
      }

      上述自定义策略中的<yourBucketName>需要替换为被授权的Bucket名称。

    6. 输入权限策略名称备注,并单击确定

  • 依赖的其他云产品:Flink

    Designer中提供了几十种基于Flink框架实现的阿里自研算法。如果需要使用相关算法,您就需要开通Flink。您可以在使用过程中按需开通。

    细分场景

    场景说明

    操作引导链接

    开通Flink

    建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通Flink,您需要给RAM账号授予AliyunStreamFullAccess权限。

    使用Flink

    后续使用Flink时:

    • 授权:Flink提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。

PAI服务账号授权

通常在开通PAI时已完成授权。如果开通时有遗漏的授权操作,可以参考以下步骤进行授权:

  1. 登录PAI控制台

  2. 在左侧导航栏单击开通和授权 > 全部云产品依赖,在Designer功能模块下找到OSS

  3. 操作列查看OSS的授权状态。

    • 如果还未授权,请单击操作列后的去授权,根据界面提示完成授权操作。

    • 如果已完成授权,可单击操作列后的查看授权信息,查看授权的详细信息。

  • 本页导读 (1)