すべてのプロダクト
Search

このプロダクト

    Platform For AI:DLCを使用するために必要な権限を付与する

    ドキュメントセンター

    Platform For AI:DLCを使用するために必要な権限を付与する

    最終更新日:Nov 11, 2024

    Platform for AI (PAI) のDeep Learning Containers (DLC) を初めて使用するときは、サービスにリンクされたロールをDLCに割り当てて、DLCが必要なリソースにアクセスできるようにする必要があります。 ストレージにObject Storage Service (OSS) を使用する場合は、DLCサービスにリンクされたロールにOSSへのアクセス許可を付与する必要があります。 このトピックでは、DLCサービスにリンクされたロールに権限を付与する方法について説明します。

    背景情報

    DLCを使用する前に、使用するアカウントにDLCとOSSを管理する権限があることを確認する必要があります。 PAIを使用すると、RAM (Resource Access Management) ユーザーにきめ細かい権限を付与して、ワークスペースを使用してDLCジョブを管理できます。 さらに、DLCを使用する前に、PAIにOSSとApsara File Storage NAS (NAS) を管理する権限を付与する必要があります。 詳細は、以下のセクションをご参照ください。

    操作アカウントへの権限付与

    DLCは、モデルトレーニングジョブを作成および提出するためのプラットフォームを提供します。 DLCを使用してトレーニングジョブを作成および送信する場合、次のクラウドサービスをアクティブ化および承認する必要がある場合があります。

    • PAIモジュール: DLC

      操作アカウント

      サービス

      参照

      Alibaba Cloud アカウント

      Alibaba Cloudアカウントを使用して、DLCの操作を実行できます。 追加の承認は必要ありません。

      非該当

      RAM ユーザー

      (推奨)

      PAIは異なるメンバーの役割を提供します。 RAMユーザーに対して異なるメンバーロールを引き受けることができ、アクセス許可の管理が便利です。 各ロールの権限の詳細については、「付録: ロールと権限」をご参照ください。

      ワークスペースのメンバーの管理

    • 依存クラウドサービス: NAS

      データストレージ用にNASを有効化して承認する必要があります。

      シナリオ

      説明

      参照

      NASの有効化

      Alibaba Cloudアカウントを使用してNASをアクティブ化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してNASをアクティブ化する場合は、RAMユーザーにAliyunNASFullAccess権限を付与する必要があります。

      NASの使用

      アクティベーション後にNASを使用する:

      • 権限付与: NASは詳細なRAM制御ポリシーを提供します。 必要に応じて、RAMユーザーに権限を付与できます。

      • 一般的な操作: NASファイルシステムを作成し、それをPAIのインスタンスにマウントする必要があります。

    • 依存クラウドサービス: OSS

      データストレージ用にOSSを有効化して権限付与する必要があります。

      シナリオ

      説明

      参照

      OSS の有効化

      Alibaba Cloudアカウントを使用してContainer Registryを有効化することを推奨します。 追加の承認は必要ありません。 RAMユーザーを使用してOSSをアクティブ化する場合は、RAMユーザーにAliyunOSSFullAccess権限を付与する必要があります。

      OSS の用途

      アクティベーション後にOSSを使用する:

      • 権限付与: OSSは詳細なRAM制御ポリシーを提供します。 ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。

      • 一般的な操作: オブジェクトをOSSにアップロードするには、バケットを作成する必要があります。

    サービスにリンクされたロールに権限を付与

    Alibaba CloudアカウントにDLC権限を付与

    DLCを使用する前に、使用するAlibaba CloudアカウントにDLCを管理する権限があることを確認してください。 ほとんどの場合、PAIを有効にすると認証を実行するように求められます。 詳細については、「PAIの有効化とデフォルトワークスペースの作成」をご参照ください。 Alibaba CloudアカウントにDLCに対する操作権限があるかどうかを確認できます。 詳細については、このトピックの「AliyunPAIDLCDefaultRoleロールがDLCに割り当てられているかどうかの確認」をご参照ください。 アカウントに必要な権限がない場合は、次の操作を実行して、Alibaba Cloudアカウントに必要な権限を付与します。

    1. PAIコンソールにログインします。 リージョンとワークスペースを選択します。 次に、[ディープラーニングコンテナ (DLC) の入力] をクリックします。

    2. AliyunPAIDLCDefaultRoleロールをRAMユーザーに割り当てます。

      1. 承認をクリックしてクラウドリソースへのアクセス許可ページに移動します。 image

      2. [クラウドリソースアクセス権限付与] ページで、[権限付与ポリシーの確認] をクリックします。 ロールがRAMユーザーに割り当てられていることを示すメッセージが表示されます。

    3. AliyunOSSFullAccessポリシーをAliyunPAIDLCDefaultRoleロールにアタッチします。

      上記の手順を完了すると、使用するアカウントにDLCデフォルトロールの権限が付与されます。 DLCが期待どおりに機能するようにするには、OSSを管理する権限をアカウントに付与する必要もあります。 以下の手順を実行します。

      1. RAMコンソールにログインし、[ID] > [ロール] を選択します。 [ロール] ページで、AliyunPAIDLCDefaultRoleロールを見つけます。

        image

      2. AliyunPAIDLCDefaultRoleアクション列で、権限付与をクリックします。

      3. 権限付与パネルで、次の表で説明するパラメータを設定します。

        パラメーター

        説明

        リソーススコープ

        値を [アカウント] に設定します。 次の権限付与スコープがサポートされています。

        • アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。

        • リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。

        プリンシパル

        権限を付与するRAMロール。 システムは現在のRAMロールを自動的に指定します。 値を変更する必要はありません。

        ポリシー

        検索ボックスにOSSと入力し、検索結果から適切なポリシーを選択します。 選択したポリシーは、[選択したポリシー] セクションに表示されます。image

        説明

        この例では、AliyunOSSFullAccessポリシーがロールにアタッチされています。 実際のシナリオでは、最小権限の原則に基づいて権限を付与する必要があります。

      4. 権限の付与をクリックします。

    4. PaiDlcOAuthPolicyポリシーをAliyunPAIDLCDefaultRoleロールにアタッチして、DLCが期待どおりに機能することを確認します。

      1. RAMコンソールにログインします。 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択し、[ポリシーの作成] をクリックします。 PaiDlcOAuthPolicyという名前のカスタムポリシーを作成し、次のキーパラメーターを設定します。 詳細については、「JSONタブでカスタムポリシーを作成する」をご参照ください。

        パラメーター

        説明

        JSON

        [JSON] タブをクリックし、次のコンテンツを入力します。 

        {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ram:GetDefaultDomain",
        "ram:ListApplications",
        "ram:CreateApplication",
        "ram:ListAppSecretIds",
        "ram:GetAppSecret",
        "ram:CreateAppSecret",
        "ram:DeleteApplication",
        "ram:DeleteAppSecret"
      ],
      "Resource": [
        "*"
      ],
      "Effect": "Allow"
    }
  ]
}

        名前

        値をPaiDlcOAuthPolicyに設定します。

      2. RAMコンソールの左側のナビゲーションウィンドウで、[ID] > [ロール] を選択します。 [ロール] ページで、AliyunPAIDLCDefaultRoleロールを見つけ、[操作] 列の [権限の付与] をクリックします。

      3. 権限付与パネルで、次の図に示す操作を実行して、PaiDlcOAuthPolicyポリシーを追加します。

        image

    5. 承認結果を表示します。

      上記の操作を完了したら、AliyunPAIDLCDefaultRoleをクリックして、ロールにアタッチされているポリシーが正しいかどうかを確認します。DLC权限确认

    PAIにOSSおよびNASへのアクセス権限を付与

    次の手順を実行すると、数回クリックするだけでPAIにOSSとNASへのアクセスを許可できます。

    説明

    RAMロールを使用してDLCにアクセスすることはできません。 次の方法を使用してのみ、DLCにOSSへのアクセスを許可できます。

    1. PAIコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アクティベーションと権限付与] > [依存サービス] を選択します。 DLCセクションで、OSSNASを見つけます。

    3. アクション列のOSSの権限付与の詳細を見ます。

      • PAIがOSSへのアクセスを許可されていない場合は、[操作] 列の [今すぐ許可] をクリックし、画面の指示に従ってPAIを許可します。

      • それ以外の場合は、[操作] 列の [権限の表示] をクリックして権限の詳細を表示します。

    AliyunPAIDLCDefaultRoleロールがDLCに割り当てられているかどうかを確認する

    想定どおりにDLCを使用するには、Alibaba Cloudアカウントを使用してAliyunPAIDLCDefaultRoleロールをDLCに割り当てます。 以下の手順を実行します。

    説明

    Alibaba Cloudアカウントのみがロールを割り当てることができます。 RAMユーザーはロールを割り当てることができません。

    1. RAMコンソールにログインします。

    2. 左側のナビゲーションウィンドウで、アイデンティティ>ロールを選択します。

    3. ロールページの検索ボックスで、AliyunPAIDLCDefaultRoleを検索します。

      • 検索結果にロールが表示されている場合、そのロールはDLCに割り当てられます。

      • それ以外の場合は、DLCにロールを割り当てる必要があります。 詳細については、「Alibaba CloudアカウントへのDLC権限の付与」をご参照ください。

    関連ドキュメント

    承認が完了したら、DLCジョブを作成してモデルをトレーニングできます。 詳細については、「トレーニングジョブの送信」をご参照ください。