创建工作空间-人工智能平台 PAI(PAI)-阿里云帮助中心

工作空间是PAI的顶层概念，为企业和团队提供统一的计算资源管理及人员权限管理能力，为AI开发者提供支持团队协作的全流程开发工具以及AI资产管理能力。本文为您介绍如何创建和配置管理工作空间。

使用限制

仅工作空间管理员或负责人能够修改工作空间配置信息。
事件通知配置中的语音电话、短信和邮件功能只支持在华东1（杭州）、华东2（上海）、华北6（乌兰察布）地域使用。

操作账号和权限要求

阿里云账号（主账号）：主账号可完成所有操作，无需额外授权。
RAM用户（子账号）：子账号需要授予AliyunPAIFullAccess权限。AliyunPAIFullAccess包含PAI所有权限，请谨慎添加。推荐使用主账号进行操作。

创建工作空间

前往PAI-工作空间列表，单击新建工作空间。
按照指引配置工作空间名称、阿里云资源组等信息。
说明
成员及角色、默认存储、关联资源等可在创建成功后进入工作空间的详情页进行配置。

配置工作空间

计算资源配置

支持关联或解绑以下计算资源：

灵骏智算资源：为用户的模型开发训练场景提供了高性能计算资源组，具备高性能、高效率、高资源利用率等核心优势，详情请参见AI计算资源使用指南。
通用计算资源：使用专属的通用计算资源进行AI开发，以提升AI开发和训练效率，详情请参见新建资源组并购买通用计算资源。
MaxCompute资源：
- 支持使用的MaxCompute资源为CPU资源，可用于可视化建模Designer部分算法的使用，详情请参见MaxCompute资源配额。
- 可新建或绑定已有MaxCompute项目。
Flink全托管资源：用于PAI大规模分布式模型训练，详情请参见Flink全托管资源管理。

关于更多AI计算资源详情，请参见AI计算资源。

成员及角色配置

当多个人员（RAM账号）在同一工作空间进行管理、开发、运维时，需要添加对应人员为工作空间成员并配置角色权限。

PAI提供了系统默认角色（基础角色、计算资源角色），您可以查看角色与权限点的映射关系，根据需求授予成员不同角色。如不满足需求还可以自定义角色。

支持的角色类型：

角色类型	描述
基础角色	基础角色包含以下角色：管理员：拥有编辑工作空间成员、管理资源组以及管理工作空间内全部资产的权限。算法开发：拥有在所属工作空间中进行开发和模型训练的权限。算法运维：拥有任务优先级管理、模型发布及线上服务监控等权限。标注管理员：拥有智能标注的操作权限。访客：拥有工作空间中各种资产的只读权限。
计算资源角色	计算资源角色当前特指MaxCompute开发，即DataWorks中的开发角色，拥有MaxCompute数据开发相关权限。您可以为从PAI提交任务至MaxCompute执行的RAM用户添加该角色。
自定义角色	添加入口：在工作空间配置页面，选择成员及角色配置 > 工作空间角色，单击新建自定义角色按钮，右侧弹出配置面板。权限说明：无权限：在指定产品模块中没有任何权限。只读：在指定产品模块中可查看owner为自己及公开可见的资源。可编辑/运行：在指定产品模块中可编辑运行owner为自己的资源。完全控制：在指定产品模块中拥有所有资源的管理权限。

成员和角色关系：
- 每个成员至少要拥有一个角色。
- 不能删除负责人角色。创建工作空间的阿里云账号或RAM用户自动成为该工作空间的负责人，拥有编辑工作空间成员、引用和管理资源组、管理工作空间内全部资产的权限。
- 目前DataWorks和PAI工作空间是互通的，空间管理员、访客和开发这三个角色是两者共有的。如果某个成员在PAI里被移除了空间管理员、访客或开发角色，且该角色是成员在DataWorks空间中的最后一个角色，则DataWorks会自动删除该成员用户，从而触发实体转交。

调度配置

提供了工作空间维度的资源管理和调度机制，支持管理员根据不同的业务需求和使用场景，灵活进行资源调度配置。详情请参见调度配置。

事件通知配置

配置事件通知来追踪和监控DLC任务、工作流任务和DSW实例的状态，或当模型版本状态变更时自动触发下游操作。详情请参见事件通知配置。

存储路径配置

建议将一个OSS路径配置为默认存储路径，用于存储任务过程中的临时数据和模型，方便统一管理。
如果Designer中也同时设置了工作流数据存储，则在运行工作流时，工作流数据存储路径将优先生效。

SLS转发配置

支持配置当前工作空间中的DLC任务日志转发至日志服务SLS中做自定义分析，详情请参见订阅任务日志。

通用配置

重要

工作空间通用配置提供了如下功能开关，注意打开或关闭后都需要重启实例。

公共资源组：
- 默认网络配置：管理员在工作空间中可配置专有网络、安全组等默认网络配置。通过管理员统一配置，合理控制权限。
DLC配置：
- 进入节点容器：控制用户是否可以进入 DLC 任务的计算节点容器进行调试或排查。开启后，授权用户可使用终端访问容器。
DSW配置：
- 从公网SSH登录实例：是否允许用户可以通过公网SSH登录实例。
- 从公网打开实例：是否允许用户从公网访问DSW实例。
- 访问公网限速：在使用专有网关访问公网时，是否限制DSW实例网速。用于防止单个实例占用过多带宽，从而保障共享资源的稳定性。

常见问题

Q：创建工作空间时提示“名称已经存在”

如果提示名称已经存在，而PAI的工作空间列表中没有同名工作空间，可能是因为在DataWorks中存在一个同名工作空间。由于PAI和DataWorks的工作空间在底层是互通的，建议您修改名称以确保工作空间名称的唯一性。

Q：设置SLS日志转发时，列表页无数据

报错信息： Unauthorized 错误，提示denied by sts or ram, action: log:ListProject, resource: acs:log.....。

原因：没有读取SLS日志库的权限。

解决方案：为用户配置日志库权限。步骤如下：

登录RAM控制台，在左侧导航栏选择 权限管理 > 授权，然后单击新增授权。
授权主体填入 RAM用户或RAM角色，授权策略选择AliyunLogFullAccess。
若用户需要提供更精细的SLS权限配置，可进入日志服务控制台，在需要授权的项目中，单击更多应用图标，在弹出的菜单中选择权限助手，生成RAM自定义权限。

Q：设置SLS日志转发时，请求失败

报错信息：Modify configuration failed [SLS] cannot init client for sis service: com.alibaba.pai.workspace.common.exception.ServiceExceptionV2: No Privilege error: {0}

原因：没有开启或关闭SLS日志库转发功能的权限。

解决方案：登录RAM控制台，通过自定义授权策略为用户配置日志库转发权限。

自定义授权策略配置如下，操作请参见创建自定义权限策略：

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection",
                "log:CloseProductDataCollection",
                "log:OpenProductDataCollection"
            ],
            "Resource": "*"
        }
    ]
}

若需要更为精细的管理，将其中Resource部分修改为期望的资源。