Platform for AI (PAI) を使用する場合、開発を完了するためにObject Storage Service (OSS) やMaxComputeなどの他のAlibaba Cloudサービスを使用する必要があるシナリオがあります。 これらのシナリオでは、Alibaba Cloudアカウントを使用してPAIが依存するAlibaba Cloudサービスをアクティブ化し、RAM (Resource Access Management) ユーザーに権限を付与して円滑な開発を確保する必要があります。 このトピックでは、依存するAlibaba Cloudサービスと、さまざまなシナリオでPAIを使用する場合の権限要件について説明します。
権限付与オブジェクト: PAIとAlibaba Cloudアカウントのサービスにリンクされたロール
他のクラウドサービスを有効化して承認する前に、承認オブジェクトに慣れることができます。 PAIを使用する場合は、2つのオブジェクトを承認する必要があります。
権限付与オブジェクト | 説明 | 指示 |
PAIのサービス連動ロール | PAIを有効にすると、システムはPAIモジュールの管理や他のクラウドサービスへのアクセスに使用できるPAIのサービスリンクロールを作成します。 この場合、PAIが提供するすべての機能を使用するために、サービスにリンクされたロールに権限を付与する必要があります。 | この手順を完了するには、PAIの有効化時に有効化ページで [許可] をクリックします。 PAIを有効にしたときに承認が完了しない場合、システムはPAIの使用を開始したときに承認を完了するように求めます。 [権限付与] をクリックして権限付与を完了します。 |
Alibaba Cloudアカウント | PAIを使用する場合、Alibaba Cloudアカウントを使用してPAIコンソールにログインし、PAIモジュールを管理し、他のクラウドサービスにアクセスします。 したがって、ビジネス要件に基づいてAlibaba Cloudアカウントに権限を付与する必要があります。 説明
| さまざまなシナリオでの依存するAlibaba Cloudサービスと必要な権限の詳細については、以下のセクションをご参照ください。 |
PAIモジュールと依存するAlibaba Cloudサービス
次のセクションでは、PAIを使用する場合のさまざまなシナリオでのクラウドサービスと必要な権限について説明します。
PAIの有効化とPAIリソースの購入
推奨操作アカウント
Alibaba Cloudアカウントを使用してPAIを有効化し、一般的なトレーニングリソースなどのPAIリソースを購入することを推奨します。
必要な権限。
操作アカウント
必要な権限
参照
Alibaba Cloud アカウント
(推奨)
Alibaba Cloudアカウントを使用して、リソースを有効化および購入できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
RAMユーザーを使用してPAIを有効化またはPAIリソースを購入する場合は、RAMユーザーに
AliyunPAIFullAccess権限を付与します。説明AliyunPAIFullAccessには、さまざまな権限が含まれています。 このシナリオでは、Alibaba Cloudアカウントを使用することを推奨します。
AIワークスペースの管理
AIワークスペースは、企業とチームにコンピューティングリソースと人員の集中管理を提供します。 AIワークスペースには、フルリンクAI開発におけるチームのコラボレーションをサポートする開発ツールとAIアセット管理機能もあります。 Alibaba CloudアカウントまたはRAMユーザーを使用して、AIワークスペースで操作を実行できます。
PAIモジュール: AIワークスペース
操作アカウント
必要な権限
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用してAIワークスペースを管理できます。 追加の承認は必要ありません。
RAM ユーザー
Alibaba Cloudアカウントに複数のRAMユーザーがあり、各RAMユーザーが異なるユーザーロールで使用されている場合、RAMユーザーに対して異なるロールを引き受けることで、管理が容易になります。 たとえば、ビジネス要件に基づいて、RAMユーザーをリソース管理者 (Alibaba Cloudアカウント /RAMユーザー) 、ワークスペース管理者または所有者、アルゴリズム開発者、アルゴリズムO&Mエンジニア、ラベリング管理者、または訪問者に設定できます。 ワークスペースの各ロールの権限の詳細については、「付録: ロールと権限」をご参照ください。
依存クラウドサービス: EventBridge
PAIワークスペースは、Deep Learning Containers (DLC) ジョブまたはMachine Learning Designerジョブのステータスを追跡および監視するのに役立つ通知メカニズムを提供します。 ワークスペースはEventBridgeを使用して通知を送信します。 したがって、通知を受信するためにEventBridgeをアクティブ化して許可する必要があります。
AI开発: iTAG
iTAG はインテリジェントなデータラベリングプラットフォームです。 iTAGでは、画像、テキスト、ビデオ、オーディオまたはマルチモーダルデータなど、さまざまなモーダルのデータにラベルを付けることができます。 iTAGを使用する場合は、次のクラウドサービスを有効化して承認する必要があります。
PAIモジュール: iTAG
操作アカウント
サービス
参照
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用して、iTAGの操作を実行できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
(推奨)
PAIは異なるメンバーの役割を提供します。 RAMユーザーに対して異なるメンバーロールを引き受けることができ、アクセス許可の管理が便利です。 各ロールの権限の詳細については、「付録: ロールと権限」をご参照ください。
依存クラウドサービス: OSS
データセットラベリングの入力と出力は、OSSをデータソースとして使用します。 したがって、ラベル付けを開始する前に、OSSを有効化して許可する必要があります。
シナリオ
説明
参照
OSS の有効化
Alibaba Cloudアカウントを使用してContainer Registryを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してOSSをアクティブ化する場合は、RAMユーザーに
AliyunOSSFullAccess権限を付与する必要があります。有効化: OSSの有効化
権限付与: RAMポリシーの概要
一般的な操作: バケットの作成
OSS の用途
アクティベーション後にOSSを使用する:
権限付与: OSSは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: オブジェクトをOSSにアップロードするには、バケットを作成する必要があります。
AI開発: 機械学習デザイナー
Machine Learning Designerは、豊富な組み込みの機械学習アルゴリズムを使用して、フルリンクの機械学習開発のための視覚化された環境を提供します。 Machine Learning Designerを使用する場合は、次のクラウドサービスを有効化して承認する必要があります。
PAIモジュール: Machine Learning Designer
操作アカウント
サービス
参照
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用して、Machine Learning Designerで操作を実行できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
(推奨)
PAIは異なるメンバーの役割を提供します。 RAMユーザーに対して異なるメンバーロールを引き受けることができ、アクセス許可の管理が便利です。 各ロールの権限の詳細については、「付録: ロールと権限」をご参照ください。
PAIモジュール: 一般的なコンピューティングリソース
AI開発にPAIの一般的なコンピューティングリソースを使用できます。
Alibaba Cloudアカウントを使用して一般的なコンピューティングリソースを購入することを推奨します。 RAMユーザーを使用してリソースを購入する場合、RAMユーザーに
AliyunPAIFullAccess権限が付与されている必要があります。 詳細については、「PAIの有効化とPAIリソースの購入」セクションをご参照ください。RAMユーザーまたはRAMロールにMaxComputeへのアクセス権限を付与
Machine Learning Designerは、MaxComputeフレームワークに基づいた数百の自己開発アルゴリズムを提供します。 これらのアルゴリズムを使用する前に、必ずMaxComputeを有効化してください。
シナリオ
説明
参照
MaxCompute の有効化
Alibaba Cloudアカウントを使用してMaxComputeを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してMaxComputeをアクティブ化する場合は、RAMユーザーにAliyunBSSOrderAccessおよびAliyunDataWorksFullAccess権限を付与する必要があります。
MaxComputeの使用
MaxCompute Developerロールをワークスペースに追加する必要があります。 詳細については、「メンバーの追加」をご参照ください。
依存クラウドサービス: OSS
深層学習アルゴリズムコンポーネントを使用する場合、OSSを有効化し、OSSをデータソースとして使用することを許可する必要があります。
シナリオ
説明
参照
OSS の有効化
Alibaba Cloudアカウントを使用してContainer Registryを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してOSSをアクティブ化する場合は、RAMユーザーに
AliyunOSSFullAccess権限を付与する必要があります。有効化: OSSの有効化
権限付与: RAMポリシーの概要
一般的な操作: バケットの作成
OSS の用途
アクティベーション後にOSSを使用する:
権限付与: OSSは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: オブジェクトをOSSにアップロードするには、バケットを作成する必要があります。
依存クラウドサービス: Flink
Machine Learning Designerは、Flinkフレームワークに基づいた数十の自己開発アルゴリズムを提供します。 これらのアルゴリズムを使用する前に、必ずFlinkを有効にしてください。
シナリオ
説明
参照
Flinkの有効化
Alibaba Cloudアカウントを使用してFlinkを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してFlinkをアクティブ化する場合は、RAMユーザーに
AliyunStreamFullAccess権限を付与する必要があります。Flinkを使う
アクティベーション後にFlinkを使用する:
承認: Flinkは詳細なRAM制御ポリシーを提供します。 必要に応じて、RAMユーザーに権限を付与できます。
AI開発: データサイエンスワークショップ (DSW)
DSWは、クラウド内の統合開発環境 (IDE) であり、さまざまなレベルの開発者にインタラクティブな開発環境を提供します。 インタラクティブモデリングにDSWを使用する場合、次のクラウドサービスを有効化して承認する必要がある場合があります。
PAIモジュール: DSW
操作アカウント
サービス
参照
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用して、DSWで操作を実行できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
(推奨)
PAIは異なるメンバーの役割を提供します。 RAMユーザーに対して異なるメンバーロールを引き受けることができ、アクセス許可の管理が便利です。 各ロールの権限の詳細については、「付録: ロールと権限」をご参照ください。
依存クラウドサービス: Apsara File Storage NAS
PAIは、パブリックリソースグループを使用して作成されたDSWインスタンスのデータを永続的に保存するための特定の容量をクラウドディスクに提供します。 DSWインスタンスが停止し、15日以上起動されなかった場合、ディスクはクリアされます。 専用リソースグループを使用して作成されたDSWインスタンスには、非永続的なオンプレミスストレージが提供されます。 データを永続化する場合は、NASファイルシステムをマウントすることを推奨します。 この場合、永続化データストレージ用にNASを有効化して許可する必要があります。
シナリオ
説明
参照
NASの有効化
Alibaba Cloudアカウントを使用してNASをアクティブ化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してNASをアクティブ化する場合は、RAMユーザーに
AliyunNASFullAccess権限を付与する必要があります。権限付与: RAMポリシーに基づくアクセス制御の実行
一般的な操作: ファイルシステムの作成
NASの使用
アクティベーション後にNASを使用する:
権限付与: NASは詳細なRAM制御ポリシーを提供します。 必要に応じて、RAMユーザーに権限を付与できます。
一般的な操作: NASファイルシステムを作成し、それをPAIのインスタンスにマウントする必要があります。
AI開発: DLC
DLCは、モデルトレーニングジョブを作成および提出するためのプラットフォームを提供します。 DLCを使用してトレーニングジョブを作成および送信する場合、次のクラウドサービスをアクティブ化および承認する必要がある場合があります。
PAIモジュール: DLC
操作アカウント
サービス
参照
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用して、DLCの操作を実行できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
(推奨)
PAIは異なるメンバーの役割を提供します。 RAMユーザーに対して異なるメンバーロールを引き受けることができ、アクセス許可の管理が便利です。 各ロールの権限の詳細については、「付録: ロールと権限」をご参照ください。
依存クラウドサービス: Apsara File Storage NAS
永続化データストレージのためにNASを有効化して承認する必要があります。
シナリオ
説明
参照
NASの有効化
Alibaba Cloudアカウントを使用してNASをアクティブ化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してNASをアクティブ化する場合は、RAMユーザーに
AliyunNASFullAccess権限を付与する必要があります。権限付与: RAMポリシーに基づくアクセス制御の実行
一般的な操作: ファイルシステムの作成
NASの使用
アクティベーション後にNASを使用する:
権限付与: NASは詳細なRAM制御ポリシーを提供します。 必要に応じて、RAMユーザーに権限を付与できます。
一般的な操作: NASファイルシステムを作成し、それをPAIのインスタンスにマウントする必要があります。
依存クラウドサービス: OSS
データストレージ用にOSSを有効化して権限付与する必要があります。
シナリオ
説明
参照
OSS の有効化
Alibaba Cloudアカウントを使用してContainer Registryを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してOSSをアクティブ化する場合は、RAMユーザーに
AliyunOSSFullAccess権限を付与する必要があります。有効化: OSSの有効化
権限付与: RAMポリシーの概要
一般的な操作: バケットの作成
OSS の用途
アクティベーション後にOSSを使用する:
権限付与: OSSは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: オブジェクトをOSSにアップロードするには、バケットを作成する必要があります。
AI開発: Elastic Algorithm Service (EAS)
EASを使用してモデルをRESTful APIとしてデプロイし、HTTPリクエストを送信してAPIを呼び出すことができます。 EASを使用してモデルをデプロイする場合、次のクラウドサービスをアクティブ化して承認する必要がある場合があります。
PAIモジュール: EAS
操作アカウント
サービス
参照
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用して、EASで操作を実行できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
(推奨)
PAIは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAMアカウントに操作権限を付与できます。 例:
EASの管理権限:
AliyunPAIEASFullAccess権限。EASに対する読み取り専用権限:
AliyunPAIEASReadOnlyAccess権限。
依存クラウドサービス: API Gateway
EASでモデルを展開した後、API Gatewayを使用してインターネット経由でサービスをデバッグおよびアクセスできます。
シナリオ
説明
参照
API Gatewayの有効化
Alibaba Cloudアカウントを使用してAPI Gatewayを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してAPI Gatewayをアクティブ化する場合は、RAMユーザーに
AliyunApiGatewayFullAccess権限を付与する必要があります。権限付与: RAMを使用してAPIリソースの権限を管理
API Gatewayの使用
アクティベーション後にAPI Gatewayを使用する:
承認: API Gatewayは、詳細なRAM制御ポリシーを提供します。 必要に応じて、RAMユーザーに権限を付与できます。
依存クラウドサービス: OSS
モデルファイルを保存するには、OSSを使用する必要があります。
シナリオ
説明
参照
OSS の有効化
Alibaba Cloudアカウントを使用してContainer Registryを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してOSSをアクティブ化する場合は、RAMユーザーに
AliyunOSSFullAccess権限を付与する必要があります。有効化: OSSの有効化
権限付与: RAMポリシーの概要
一般的な操作: バケットの作成
OSS の用途
アクティベーション後にOSSを使用する:
権限付与: OSSは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: オブジェクトをOSSにアップロードするには、バケットを作成する必要があります。
依存クラウドサービス: Simple Log service
ログはSimple Log Serviceに配信されます。
シナリオ
説明
参照
Simple Log Serviceの有効化
Alibaba Cloudアカウントを使用してSimple Log Serviceを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してSimple Log Serviceを有効化する場合は、RAMユーザーに
AliyunLogFullAccess権限を付与する必要があります。権限付与: 権限付与ルール
一般的な操作: プロジェクトの作成とLogstoreの作成
Simple Log Serviceの使用
アクティベーション後にSimple Log Serviceを使用する:
権限付与: Simple Log Serviceは、詳細なRAM制御ポリシーを提供します。 必要に応じて、RAMユーザーに権限を付与できます。
一般的な操作: ログを収集して保存するには、Simple Log Service用のプロジェクトとLogstoreを作成する必要があります。
依存クラウドサービス: Virtual Private cloud (VPC)
VPC直接接続が使用されます。
シナリオ
説明
参照
VPCの有効化
Alibaba Cloudアカウントを使用してVPCを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してVPCを有効化する場合は、RAMユーザーに
AliyunVPCFullAccess権限を付与する必要があります。権限付与: RAMユーザーへの権限付与
一般的な操作: VPCの作成と管理とvSwitchの作成と管理。
VPCの使用
有効化後にVPCを使用する:
権限付与: VPCは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: ネットワーク接続用にVPCとvSwitchを作成する必要があります。
依存クラウドサービス: CloudMonitor
CloudMonitorは、サービスのモニタリングとアラートの生成に使用されます。
シナリオ
説明
参照
CloudMonitorの有効化
Alibaba Cloudアカウントを使用してCloudMonitorを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してCloudMonitorをアクティブ化する場合は、RAMユーザーに
AliyunCloudMonitorFullAccess権限を付与する必要があります。権限付与: RAM認証
一般的な操作: Step 1: Configure alert contactsおよびStep 2: Configure alert rules
CloudMonitor を用いた
アクティベーション後にContainer Registryを使用する
権限付与: CloudMonitor Gatewayは、詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: ほとんどの場合、アラート連絡先とアラートルールを設定する必要があります。
AIコンピューティング資産管理
AI Computing Asset Managementは、AI開発中に開発データをアセットとして管理するためのオールインワンプラットフォームを提供します。 AI Computing Asset Managementを使用する場合、次のクラウドサービスを有効化して承認する必要がある場合があります。
PAIモジュール: AI Computing Asset Management
操作アカウント
サービス
参照
Alibaba Cloud アカウント
Alibaba Cloudアカウントを使用してAIアセットを管理できます。 追加の承認は必要ありません。
非該当
RAM ユーザー
(推奨)
PAIは異なるメンバーの役割を提供します。 RAMユーザーに対して異なるメンバーロールを引き受けることができ、アクセス許可の管理が便利です。 各ロールの権限の詳細については、「付録: ロールと権限」をご参照ください。
依存クラウドサービス: Container Registry
Container Registryを使用してカスタムイメージを作成し、そのカスタムイメージをAIアセットとして使用および管理する必要があります。
シナリオ
説明
参照
Container Registryの有効化
Alibaba Cloudアカウントを使用してCloudMonitorを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してContainer Registryをアクティブ化する場合は、RAMユーザーに
AliyunContainerRegistryFullAccess権限を付与する必要があります。Container Registryの使用
アクティベーション後にContainer Registryを使用する
承認: Container Registryは、詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。
一般的な操作: ほとんどの場合、イメージを構築するためのDockerファイルを準備し、カスタムイメージを作成してから、AI Computing Asset Managementプラットフォームを使用してイメージを管理する必要があります。
AIアクセラレーション
AIアクセラレーションを使用して、トレーニングと推論を高速化できます。
ほとんどの場合、AIアクセラレーションを使用する場合、関連するPAIモジュールでの開発、トレーニング、および推論の権限のみが必要です。 追加の承認は必要ありません。
dataset accelerationを使用する必要がある場合は、dataset accelerationインスタンスを購入し、アクセラレーションスロットを設定する必要があります。
Alibaba Cloudアカウントを使用して、データセットアクセラレーションインスタンスのリソースを購入および設定することを推奨します。
RAMユーザーを使用してデータセットアクセラレーションのリソースを購入および設定する場合は、RAMユーザーに
AliyunPAIFullAccessおよびAliyunDatasetAccFullAccess権限が付与されている必要があります。