本文将详细介绍如何通过角色单点登录(SSO)方式登录PAI平台。角色SSO提供了一种便捷且安全的访问方式,使用户能够高效地使用PAI的各项功能。通过这种方法,用户可以简化登录流程,同时增强账户安全性和管理灵活性。本文将指导您完成角色SSO登录PAI的具体操作。
背景信息
为了满足企业日益严格的安全监管要求,阿里云提供了通过角色登录(Role-Based SSO)访问云资源的选项。传统上,企业用户通常通过在阿里云控制台输入账号和密码进行常规登录,以管理和使用云服务。但是,角色登录为企业提供了一种更安全的访问方式,符合更高的安全标准,详情请参见SAML角色SSO概览。
PAI支持的登录方式
PAI支持两种方式的登录:云账号登录和角色登录。
云账号登录:您可以使用阿里云账号或RAM用户账号直接登录PAI。通过输入账号和密码,您可以访问阿里云控制台,并以当前登录账号的身份使用PAI。在这种情况下,您的阿里云账号将自动成为PAI某个工作空间的成员,并获得相应的产品使用权限。
角色SSO登录:您还可以通过角色SSO(单点登录)方式进入阿里云控制台并使用PAI。有关角色SSO的详细信息,请参见SAML角色SSO概览。通过此方式,阿里云访问控制角色(RAM role)将成为PAI某个工作空间的成员。使用该RAM角色的用户将获得与云账号成员相同的产品使用权限。有关RAM角色的更多信息,请参见RAM角色概览。
角色登录指南
创建RAM角色并配置信任策略。
通过RAM用户扮演角色并添加权限
如果您需要通过RAM用户来扮演RAM角色,并基于阿里云控制台切换身份的方式扮演该角色,当前可信实体类型可以选择阿里云账号。具体操作步骤如下。
创建可信实体类型为阿里云账号的RAM角色,具体操作,请参见创建可信实体为阿里云账号的RAM角色。
其中:选择信任的云账号参数选择当前云账号。
进入目标角色详情页面,修改信任策略。
信任策略内容修改为如下脚本内容:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::主账号ID:root" ] } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }
脚本中acs:ram::主账号ID:root中的主账号ID需要替换为需要授权的账号ID。您可以前往用户基本信息页面,获取账号ID。
创建RAM用户。您可以同时创建多个RAM用户,具体操作,详情请参见创建RAM用户。
单击目标RAM用户操作列下的添加权限,为已创建的RAM用户添加AliyunSTSAssumeRoleAccess权限,来获取调用STS服务AssumeRole接口的权限。
通过IdP身份提供商扮演角色并添加权限
如果您需要通过IdP身份提供商账号登录至阿里云来扮演RAM角色,当前可信实体类型可以选择身份提供商,具体操作步骤如下:
创建可信实体类型为身份提供商的RAM角色,具体操作,详情请参见创建可信实体为身份提供商的RAM角色。
进入目标角色详情页面,修改信任策略。
信任策略内容修改为如下脚本内容:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Federated": [ "acs:ram::主账号ID:saml-provider/IDP" ] }, "Condition": { "StringEquals": { "saml:recipient": "https://signin.aliyun.com/saml-role/sso" } } }, { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "dataworks.aliyuncs.com" ] } } ], "Version": "1" }
脚本中acs:ram::主账号ID:saml-provider/IDP中的主账号ID需要替换为需要授权的账号ID。您可以前往用户基本信息页面,获取账号ID。
配置权限策略。
您可以根据角色用户登录后需要使用的子产品需求,为角色用户添加权限策略。未设置权限策略可能会影响您在工作空间中的部分功能(例如:AI资产管理-数据集等)。建议您为角色用户添加相关的权限策略,具体操作步骤如下。
创建权限策略,例如将策略名称定义为PAIDefaultPolicy,具体操作,可参考样例云产品依赖与授权:Designer。其中脚本编辑页签的策略内容配置如下:
{ "Version": "1", "Statement": [ { "Action": [ "cs:GetClusterById", "cs:GetClusters", "cs:GetUserConfig", "cs:DescribeClusterNodes", "cs:DescribeClusterInnerServiceKubeconfig", "cs:RevokeClusterInnerServiceKubeconfig" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "vpc:DescribeVSwitchAttributes", "vpc:DescribeVpcs", "vpc:DescribeVSwitches", "vpc:DescribeVpcAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ecs:DescribeSecurityGroupAttribute", "ecs:DescribeSecurityGroups", "ecs:CreateNetworkInterface", "ecs:DeleteNetworkInterface", "ecs:DescribeNetworkInterfaces", "ecs:CreateNetworkInterfacePermission", "ecs:DescribeNetworkInterfacePermissions", "ecs:DeleteNetworkInterfacePermission" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "nas:DescribeFileSystems", "nas:CreateMountTarget", "nas:DescribeMountTargets", "nas:ModifyMountTarget", "nas:DescribeProtocolMountTarget" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "cr:ListNamespace", "cr:ListRepository", "cr:GetAuthorizationToken", "cr:ListInstanceEndpoint", "cr:PullRepository", "cr:PushRepository", "cr:GetInstance", "cr:GetInstanceVpcEndpoint", "cr:ListInstance", "cr:ListInstanceDomain" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "oss:ListBuckets", "oss:GetObjectMetadata", "oss:GetObject", "oss:ListObjects", "oss:PutObject", "oss:CopyObject", "oss:CompleteMultipartUpload", "oss:AbortMultipartUpload", "oss:InitiateMultipartUpload", "oss:UploadPartCopy", "oss:UploadPart", "oss:DeleteObject" ], "Resource": "acs:oss:*:*:*", "Effect": "Allow" }, { "Action": [ "datasetacc:DescribeInstance", "datasetacc:DescribeSlot", "datasetacc:DescribeEndpoint" ], "Resource": "*", "Effect": "Allow" } ] }
权限点类型
说明
cs:***
表示容器服务(CS)相关的权限。
vpc:***
表示专有网络(VPC)相关的权限。
ecs:***
表示云服务器服务(ECS)相关的权限。
nas:***
表示文件存储服务(NAS)相关的权限。
cr:***
表示容器镜像服务(ContainerRegistry)相关的权限。
oss:***
表示对象存储服务(OSS)相关的权限。
datasetacc:***
表示数据集加速(DatasetAcc)相关的权限。
在RAM访问控制页面,选择
。搜索在步骤1中创建的角色,并单击角色名称,进入角色详情页面。
在权限管理页签,单击新增授权,将已创建的权限策略授权给该角色。具体如下图所示。
添加RAM角色至PAI工作空间并授权。
RAM角色需要被添加为工作空间的成员,才能在权限范围内使用PAI的子产品。工作空间管理员可以在工作空间成员管理页面,添加已创建的RAM角色,具体操作,详情请参见管理工作空间成员。
登录PAI控制台开始算法开发工作。