Platform for AI (PAI) のElastic Algorithm Service (EAS) にResource access Management (RAM) ユーザーとしてアクセスする場合は、Alibaba Cloudアカウントを使用してRAMユーザーに必要な権限を付与する必要があります。 このトピックでは、RAMユーザーにEASにアクセスする権限を付与する方法について説明します。
背景情報
次のいずれかの方法を使用して、RAMユーザーにEASにアクセスする権限を付与できます。
EASに対する完全な権限を提供するAliyunPAIEASFullAccessシステムポリシーを使用します。 ポリシーをRAMユーザーにアタッチすると、RAMユーザーはEASのすべての機能を使用できます。
EASに対する読み取り専用権限を提供するAliyunPAIEASReadOnlyAccessシステムポリシーを使用します。 ポリシーをRAMユーザーにアタッチすると、RAMユーザーはEASにデプロイされているモデルサービスを照会および表示できます。
上記の方法が要件を満たしていない場合は、カスタムポリシーを作成して、RAMユーザーに権限を付与することができます。 たとえば、EASのモデルサービスまたは専用リソースグループを照会および変更する権限をRAMユーザーに付与するカスタムポリシーを作成できます。
RAMユーザーにEASに対する完全な権限を付与する
このセクションでは、RAMユーザーにEASのすべての機能を使用する権限を付与する方法について説明します。
RAMコンソールにログインします。
RAMユーザーにEASに対する完全な権限を付与します。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
次のパラメータに注意してください。
リソーススコープ: このパラメーターをAccountに設定します。
ポリシー: [システムポリシー] [AliyunPAIEASFullAccess] を選択します。
説明Object Storage Service (OSS) 権限は、データセキュリティに関連しています。 AliyunPAIEASFullAccessポリシーは、OSS権限を提供しません。 RAMユーザーにOSS権限を個別に付与する必要があります。 詳細については、「RAM Policy Editor」をご参照ください。
RAMユーザーにEASに対する読み取り専用権限を付与する
このセクションでは、RAMユーザーにEASにデプロイされているモデルサービスを照会および表示する権限を付与する方法について説明します。
RAMコンソールにログインします。
RAMユーザーにEASに対する完全な権限を付与します。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
次のパラメータに注意してください。
リソーススコープ: このパラメーターをAccountに設定します。
ポリシー: [システムポリシー] [AliyunPAIEASReadOnlyAccess] を選択します。
カスタマイズポリシーの作成
このセクションでは、カスタムポリシーを作成して、EASのモデルサービスまたは専用リソースグループを照会および変更する権限をRAMユーザーに付与する方法について説明します。
RAMコンソールにログインします。
カスタムポリシーを作成します。 詳細については、「JSONタブでカスタムポリシーを作成する」をご参照ください。
重要ポリシードキュメントを指定するときは、最小権限の原則に従うことをお勧めします。
次のコードは、サンプルのポリシードキュメントを提供します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "eas:CreateInstance", "Resource": "*" }, { "Effect": "Allow", "Action": [ "eas:DescribeService", "eas:DeleteService", "eas:UpdateService", "eas:UpdateServiceVersion" ], "Resource": [ "acs:eas:<region>:<uid>:service/eas-m-xxx1",// Modify this configuration based on your business requirements and the instructions in the "Policy description" section of this topic. "acs:eas:<region>:<uid>:service/eas-m-xxx2" ], } ] }ActionおよびResource要素の設定については、このトピックの「ポリシーの説明」をご参照ください。
RAMユーザーにポリシーをアタッチします。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
次のパラメータに注意してください。
リソーススコープ: このパラメーターをAccountに設定します。
ポリシー: 手順2で作成したカスタムポリシーを選択します。
ポリシーの説明
各ポリシーには、Action要素とResource要素が含まれます。 Action要素は実行するアクションを指定し、Resource要素はアクションが実行されるプリンシパルを指定します。 次の表に、Action要素とResource要素の有効な値を示します。
Action
カテゴリ
Action
説明
サービス関連のアクション
eas:CreateService
モデルサービスを作成します。
eas:ListServices
モデルサービスを表示します。
eas:DescribeService
モデルサービスの詳細を表示します。
eas:DeleteService
モデルサービスを削除します。
eas:DeleteServiceLabel
モデルサービスのタグを削除します。
eas:ListServiceInstances
EASインスタンスに関する情報を表示します。
eas:DeleteServiceInstances
EASインスタンスを再起動します。
eas:UpdateService
モデルサービスを更新するか、バージョンを追加します。
eas:UpdateServiceVersion
モデルサービスのバージョンを切り替えます。
eas:StartService
モデルサービスを開始します。
eas:StopService
モデルサービスを停止します。
eas:UpdateService
モデルサービスを更新します。
eas:UpdateServiceLabel
モデルサービスのタグを更新します。
eas:RestartService
モデルサービスを再起動します。
eas:CreateServiceAutoScaler
モデルサービスの自動スケーリングを有効にします。
eas:CreateServiceCronScaler
モデルサービスのスケジュール自動スケーリングを有効にします。
eas:DeleteServiceAutoScaler
モデルサービスの自動スケーリングを無効にします。
eas:DeleteServiceCronScaler
モデルサービスのスケジュール自動スケーリングを無効にします。
eas:DescribeServiceAutoScaler
モデルサービスのオートスケーリングステータスを表示します。
eas:DescribeServiceCronScaler
モデルサービスのスケジュールされた自動スケーリングに関する情報を表示します。
eas:UpdateServiceAutoScaler
モデルサービスの自動スケーリング設定を更新します。
eas:UpdateServiceCronScaler
モデルサービスの自動スケーリング設定のスケジュールを更新します。
eas:CreateAppService
アプリケーションサービスを作成します。
eas:UpdateServiceSafetyLock
サービスセキュリティロックを更新します。
eas:UpdateServiceInstance
サービスインスタンスの属性を更新します。
eas:UpdateAppService
アプリケーションサービスを更新します。
eas:DescribeServiceDiagnosis
サービスの診断の詳細を表示します。
eas:DescribeServiceInstanceDiagnosis
サービスインスタンスの診断の詳細を表示します。
eas:DescribeServiceEvent
モデルサービス展開イベントを表示します。
eas:DescribeGroup
サービスグループの詳細を表示します。
eas:ListServiceVersions
サービスの履歴バージョンを表示します。
eas:ListServiceContainers
サービスのコンテナリストを表示します。
eas:ListGroups
サービスグループの一覧を表示します。
eas:CreateServiceMirror
トラフィックミラーセッションを作成します。
eas:DescribeServiceMirror
トラフィックミラーセッションのステータスを表示します。
eas:UpdateServiceMirror
トラフィックミラーセッションの設定を更新します。
eas:DeleteServiceMirror
トラフィックミラーセッションを終了します。
eas:ReleaseService
ブルーグリーン展開のトラフィック比率を指定します。
eas:DescribeServiceLog
モデルサービスのログを表示します。
リソースグループ関連のアクション
eas:CreateResource
専用リソースグループを作成します。
eas:DescribeResource
専用リソースグループに関する基本情報を表示します。
eas:ListResources
専用リソースグループを表示します。
eas:DeleteResource
専用リソースグループを削除します。
eas:UpdateResource
専用リソースグループに関する基本情報を更新します。
eas:ListResourceInstances
専用リソースグループのインスタンスを表示します。
eas:ListResourceInstanceWorker
専用リソースグループのインスタンスでホストされているコンテナーを表示します。
eas:ListResourceServices
専用リソースグループにデプロイされたモデルサービスを表示します。
eas:CreateResourceInstances
専用リソースグループにインスタンスを追加します。
eas:UpdateResourceInstance
専用リソースグループのインスタンスを更新します。
eas:DeleteResourceInstances
専用リソースグループからインスタンスを削除します。
eas:UpdateResourceDLink
専用リソースグループのVirtual Private Cloud (VPC) 直接接続のステータスを更新します。
eas:DescribeResourceDLink
専用リソースグループのVPC直接接続のステータスを表示します。
eas:DeleteResourceDLink
専用リソースグループのVPC直接接続設定を削除します。
eas:CreateResourceLog
専用リソースグループのログシッパーを有効にします。
eas:DescribeResourceLog
専用リソースグループのログシッパーのステータスを表示します。
eas:DeleteResourceLog
専用リソースグループのログシッパーを無効にします。
ストレステスト関連のアクション
eas:CreateBenchmarkTask
ストレステストタスクを作成します。
eas:DeleteBenchmarkTask
ストレステストタスクを削除します。
eas:DescribeBenchmarkTask
ストレステストタスクの詳細を表示します。
eas:DescribeBenchmarkTaskReport
ストレステストタスクのレポートを表示します。
eas:ListBenchmarkTask
ストレステストタスクのリストを表示します。
eas:StartBenchmarkTask
ストレステストのタスクを開始します。
eas:StopBenchmarkTask
ストレステストのタスクを停止します。
eas:UpdateBenchmarkTask
ストレステストタスクを更新します。
プライベートゲートウェイ関連のアクション
eas:CreateGateway
プライベートゲートウェイを作成します。
eas:DescribeGateway
プライベートゲートウェイの詳細を表示します。
eas:UpdateGateway
プライベートゲートウェイを更新します。
eas:CreateGatewayIntranetLinkedVpc
プライベートゲートウェイの内部エンドポイントを作成します。
eas:ListGatewayIntranetLinkedVpc
プライベートゲートウェイの内部エンドポイントを表示します。
eas:DeleteGatewayIntranetLinkedVpc
プライベートゲートウェイの内部エンドポイントを削除します。
eas:DeleteGateway
プライベートゲートウェイを削除します。
リソース
EASのResource要素は次の形式です。
acs:eas:<region >:< uid >:< resource_type>/<id>次のパラメータを実際の値に置き換えます。
<region>: モデルサービスまたは専用リソースグループがデプロイされているリージョン。
<uid>: リソースが属するアカウントのUID。
<resource_type>: リソースタイプ。 たとえば、モデルサービスに関連するリソースを管理する場合は、値をserviceに設定します。 リソースグループに関連するリソースを管理する場合は、値をresourceに設定します。
<id>: モデルサービスまたは専用リソースグループのID。
次の例は、パブリックリソースグループにデプロイされたモデルサービスの管理、専用リソースグループにデプロイされたモデルサービスの管理、および専用リソースグループの管理のシナリオでのResource要素の値を示しています。
EASにデプロイされたモデルサービスを管理する
パブリックリソースグループにデプロイされているモデルサービスの管理
acs:eas:cn-hangzhou:123456789012****:service/eas-m-u12fxt9ml1syoj****Resourceの値は、パブリックリソースグループにデプロイされるモデルサービスeas-m-u12fxt9ml1syoj **** を指定します。 モデルサービスは中国 (杭州) リージョンにデプロイされ、123456789012 **** という名前のアカウントに属します。
acs:eas:cn-hangzhou:123456789012 ****:service/your_service_nameResourceの値は、パブリックリソースグループにデプロイされるモデルサービスyour_service_nameを指定します。 モデルサービスは中国 (杭州) リージョンにデプロイされ、123456789012 **** という名前のアカウントに属します。
専用リソースグループにデプロイされているモデルサービスの管理
acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai81****/service/eas-m-iaskn1skn1us****Resourceの値は、専用リソースグループeas-r-jksauxqjsai8 **** にデプロイされるモデルサービスeas-m-iaskn1skn1us **** を指定します。 モデルサービスは中国 (上海) リージョンにデプロイされ、123456789012 **** という名前のアカウントに属します。
acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/your_private_serviceResourceの値は、専用リソースグループeas-r-jksauxqjsai8 **** にデプロイされるモデルサービスyour_private_serviceを指定します。 モデルサービスは中国 (上海) リージョンにデプロイされ、123456789012 **** という名前のアカウントに属します。
専用リソースグループの管理
acs:eas:cn-beijing:123456789012****:resource/eas-r-jksauxqjsai8****Resourceの値は、専用リソースグループeas-r-jksauxqjsai8 **** を指定します。 専用リソースグループは、中国 (北京) リージョンにデプロイされ、123456789012 **** という名前のアカウントに属します。
ワイルドカード文字を使用する
Resourceでアスタリスク (*) ワイルドカード文字を使用して、複数のリソースを指定できます。
次の例は、ワイルドカード文字が使用されている場合のResourceの値を示しています。
acs:eas:*:123456789012 ****:service/*Resourceの値は、123456789012 **** という名前のアカウントに属し、すべてのリージョンのパブリックリソースグループにデプロイされるモデルサービスを指定します。
acs:eas:cn-hangzhou:123456789012****:resource/eas-r-jksauxqjsai8****/*Resourceの値は、123456789012 **** という名前のアカウントに属し、中国 (杭州) リージョンの **** eas-r-jksauxqjsai8専用リソースグループにデプロイされているすべてのモデルサービスを指定します。
acs:eas:*:123456789012 ****:*Resourceの値は、すべてのリージョンで123456789012 **** という名前のアカウントに属するすべてのリソースグループとモデルサービスを指定します。
acs:eas:*:123456789012 ****:service/prefix *Resourceの値は、名前に
プレフィックスプレフィックスが含まれるリージョンの123456789012 **** という名前のアカウントに属するすべてのリソースグループとモデルサービスを指定します。