使用PAI進行AI開發過程中,不同的開發情境下需要聯合使用一些其他阿里雲產品,如OSS、MaxCompute等,因此在正式開始AI開發前,您需要根據情境提前開通好對應的其他雲產品並做好授權,以保障後續的開發工作可以順利進行。本文介紹各情境下依賴的其他雲產品列表及許可權要求。
瞭解授權對象:PAI服務帳號、阿里雲操作帳號
在進行其他雲產品開通和授權前,您可以先瞭解下需要授權的對象,有助於理解後續的授權操作。在使用PAI的過程中,您需要對兩個對象進行授權。
授權對象 | 授權對象描述 | 開通及授權操作的入口與指引 |
PAI服務帳號 | 開通PAI時,系統會為您建立一個PAI的服務帳號,用於後續在使用過程中使用PAI的子產品、訪問其他相關雲產品,因此您需要為PAI服務帳號授予相應的許可權,以保障後續操作能夠順利執行。 | 通常在開通PAI時已完成(即開通頁面中的授權操作),如果開通時有遺漏的授權操作,在後續的操作介面上也會提示需要進行授權,您在對應的授權提示頁面也可通過單擊授權一鍵完成授權。 |
使用者操作時使用的阿里雲帳號 | 在使用PAI進行AI開發時,您需要使用您的阿里雲帳號登入並對PAI的各子產品、依賴的其他雲產品進行相應的操作。因此,您需要根據實際業務需要為不同的阿里雲帳號授予相應的許可權。 說明
| 不同操作環境下依賴的雲產品列表,以及對應雲產品對操作帳號的許可權要求,請參見下文。 |
PAI子產品及依賴的其他阿里雲產品
使用PAI時,不同的情境下依賴的雲產品列表及許可權要求如下。
開通PAI及購買PAI資源
操作的阿里雲帳號建議
建議使用阿里雲主帳號進行PAI的開通和PAI資源購買的操作(例如購買通用訓練資源等資源購買操作)。
許可權要求
操作帳號類型
許可權要求
操作引導連結
主帳號
(推薦)
主帳號可直接進行開通和資源購買操作,無需額外授權。
不涉及
RAM帳號
如果您需要使用RAM帳號開通PAI,或使用RAM帳號購買PAI資源,您需要給RAM帳號授予
AliyunPAIFullAccess
許可權。說明AliyunPAIFullAccess
許可權範圍較大,建議您直接使用主帳號進行操作。
AI工作空間管理
AI工作空間是PAI的頂層概念,為企業和團隊提供統一的計算資源管理及人員許可權管理能力,為AI開發人員提供支援小組協作的全流程開發工具以及AI資產管理能力。您可以使用主帳號或RAM帳號進行AI工作空間相關操作。
PAI子產品:AI工作空間
操作帳號類型
許可權要求
主帳號
主帳號可直接進行AI工作空間的所有操作,無需額外授權。
RAM帳號
當主帳號下有很多RAM帳號且各RAM帳號的使用人業務角色較多時,可結合業務人員情況,給不同RAM帳號授予資源管理員(主帳號/通過RAM授權)、工作空間管理員/負責人、演算法開發、演算法營運、標註管理員、訪客成員角色的許可權。各角色對工作空間的操作許可權明細可前往附錄:角色及許可權列表。
依賴的其他雲產品:Eventbridge
PAI工作空間為您提供了訊息通知機制,實現對DLC任務或Designer任務狀態的跟蹤和監控等功能。工作空間的訊息通知功能依賴EventBridge,因此您需要開通EventBridge並授予對應的許可權。
AI開發:iTAG
智能標註(iTAG)是一款智能化資料標註平台,支援映像、文本、視頻、音頻等多種資料類型的標註以及多模態的混合標註。您使用iTAG進行資料標註時,可能需要依賴以下相關雲產品,您需要提前開通並做好授權操作。
PAI子產品:iTAG
操作帳號類型
使用情境
操作引導連結
主帳號
主帳號可直接進行iTAG的所有操作,無需額外授權。
不涉及
RAM帳號
(推薦)
PAI為您提供了不同的成員角色,您可根據需要將RAM使用者添加為對應角色的工作空間成員,使其擁有對應子產品的操作許可權。各角色的許可權詳情可前往附錄:角色及許可權列表。
依賴的其他雲產品:OSS
標註資料集的輸入和輸出依賴於OSS資料來源,因此您需要開通OSS並授予對應的許可權。
細分情境
情境說明
操作引導連結
開通OSS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通OSS,您需要給RAM帳號授予
AliyunOSSFullAccess
許可權。開通:開通OSS服務
給RAM使用者授權:RAM Policy
常見操作:控制台建立儲存空間
使用OSS
後續使用OSS時:
授權:OSS提供了詳細的RAM管控策略,您可以根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要先建立一個bucket,便於後續上傳檔案至OSS。
AI開發:Designer
Designer提供介面化的、端到端的機器學習全鏈路開發環境,並內建了豐富且成熟的機器學習演算法。當您使用Designer進行模型開發時,可能需要依賴以下相關雲產品,您需要提前開通並做好授權操作。
PAI子產品:Designer
操作帳號類型
使用情境
操作引導連結
主帳號
主帳號可直接進行Designer的所有操作,無需額外授權。
不涉及
RAM帳號
(推薦)
PAI為您提供了不同的成員角色,您可根據需要將RAM使用者添加為對應角色的工作空間成員,使其擁有對應子產品的操作許可權。各角色的許可權詳情可前往附錄:角色及許可權列表。
依賴的其他PAI子產品:通用計算資源
在使用Designer進行AI開發時,您需要準備相應的計算資源,您可以使用PAI提供的通用AI計算資源。
購買通用AI計算資源時建議使用主帳號進行操作,而在使用RAM帳號時需被授予
AliyunPAIFullAccess
許可權。許可權要求詳情請參見上文的開通PAI及購買PAI資源。依賴的其他雲產品:MaxCompute
Designer中提供上百種基於MaxCompute架構實現的自研演算法,如果需要使用相關演算法您就需要開通MaxCompute,您可以在使用過程中遇到提示按需開通。
細分情境
情境說明
操作引導連結
開通MaxCompute
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通MaxCompute,則需要給RAM帳號授予AliyunBSSOrderAccess和AliyunDataWorksFullAccess許可權。
使用MaxCompute
需為工作空間添加MaxCompute開發角色,詳情請參見新增成員。
依賴的其他雲產品:OSS
使用深度學習演算法組件時,依賴OSS資料來源,因此您需要開通OSS並授予對應的許可權。
細分情境
情境說明
操作引導連結
開通OSS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通OSS,您需要給RAM帳號授予
AliyunOSSFullAccess
許可權。開通:開通OSS服務
給RAM使用者授權:RAM Policy
常見操作:控制台建立儲存空間
使用OSS
後續使用OSS時:
授權:OSS提供了詳細的RAM管控策略,您可以根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要先建立一個bucket,便於後續上傳檔案至OSS。
依賴的其他雲產品:Flink
Designer中提供了幾十種基於Flink架構實現的阿里自研演算法。如果需要使用相關演算法,您就需要開通Flink。您可以在使用過程中按需開通。
細分情境
情境說明
操作引導連結
開通Flink
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通Flink,您需要給RAM帳號授予
AliyunStreamFullAccess
許可權。給RAM使用者授權:RAM授權
使用Flink
後續使用Flink時:
授權:Flink提供了詳細的RAM管控策略,您可根據需要給對應RAM帳號授予操作許可權。
AI開發:DSW
DSW是一款雲端機器學習開發IDE,為您提供互動式編程環境,適用於不同水平的開發人員。在使用DSW進行互動式建模時,可能需要依賴以下相關雲產品,您需要提前開通並做好授權操作。
PAI子產品:DSW
操作帳號類型
使用情境
操作引導連結
主帳號
主帳號可直接進行DSW的所有操作,無需額外授權。
不涉及
RAM帳號
(推薦)
PAI為您提供了不同的成員角色,您可根據需要將RAM使用者添加為對應角色的工作空間成員,使其擁有對應子產品的操作許可權。各角色的許可權詳情可前往附錄:角色及許可權列表。
依賴的其他雲產品:NAS
系統為使用公用資源群組建立的DSW執行個體提供一定儲存空間的雲端硬碟,用於持久化儲存。如果該執行個體停機超過15天未開機,雲端硬碟的內容將被清空。而使用專有資源群組建立的DSW執行個體則提供非持久化的本機存放區。如果您希望長期保留資料,建議掛載NAS來實現持久化儲存。因此您需要開通NAS並授予對應的許可權。
細分情境
情境說明
操作引導連結
開通NAS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通NAS,您需要給該RAM帳號授予
AliyunNASFullAccess
許可權。給RAM使用者授權:使用RAM權限原則控制NAS存取權限
常見操作:建立NAS檔案系統
使用NAS
後續使用NAS時:
授權:NAS提供了詳細的RAM管控策略,您可根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要先建立NAS檔案系統,便於後續掛載至PAI的子產品資源執行個體中。
AI開發:DLC
DLC為您提供了模型訓練任務建立與提交的平台。您使用DLC建立提交訓練任務時,可能需要依賴以下相關雲產品,您需要提前開通並做好授權操作。
PAI子產品:DLC
操作帳號類型
使用情境
操作引導連結
主帳號
主帳號可直接進行DLC的所有操作,無需額外授權。
不涉及
RAM帳號
(推薦)
PAI為您提供了不同的成員角色,您可根據需要將RAM使用者添加為對應角色的工作空間成員,使其擁有對應子產品的操作許可權。各角色的許可權詳情可前往附錄:角色及許可權列表。
依賴的其他雲產品:NAS
檔案持久化儲存需要依賴NAS,因此您需要開通NAS並授予對應的許可權。
細分情境
情境說明
操作引導連結
開通NAS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通NAS,您需要給該RAM帳號授予
AliyunNASFullAccess
許可權。給RAM使用者授權:使用RAM權限原則控制NAS存取權限
常見操作:建立NAS檔案系統
使用NAS
後續使用NAS時:
授權:NAS提供了詳細的RAM管控策略,您可根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要先建立NAS檔案系統,便於後續掛載至PAI的子產品資源執行個體中。
依賴的其他雲產品:OSS
資料存放區依賴OSS,因此您需要開通OSS並授予對應的許可權。
細分情境
情境說明
操作引導連結
開通OSS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通OSS,您需要給RAM帳號授予
AliyunOSSFullAccess
許可權。開通:開通OSS服務
給RAM使用者授權:RAM Policy
常見操作:控制台建立儲存空間
使用OSS
後續使用OSS時:
授權:OSS提供了詳細的RAM管控策略,您可以根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要先建立一個bucket,便於後續上傳檔案至OSS。
AI開發:EAS
通過EAS,您可以將模型快速部署為RESTful API,然後通過HTTP請求的方式調用該服務。在使用EAS進行模型部署時,可能需要依賴以下相關雲產品。您需要提前開通並做好授權操作。
PAI子產品:EAS
操作帳號類型
使用情境
操作引導連結
主帳號
主帳號可直接進行EAS的所有操作,無需額外授權。
不涉及
RAM帳號
(推薦)
PAI為您提供了詳細的RAM管控策略,您可以根據需要為對應的RAM帳號授予操作許可權。例如:
EAS的系統管理權限:需授予
AliyunPAIEASFullAccess
角色許可權。EAS的唯讀許可權:需授予
AliyunPAIEASReadOnlyAccess
角色許可權。
依賴的其他雲產品:API Gateway
通過API Gateway的公網調用功能,實現EAS部署後的服務公網調試與訪問。
細分情境
情境說明
操作引導連結
開通API Gateway
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通API Gateway,您需要給RAM帳號授予
AliyunApiGatewayFullAccess
許可權。給RAM使用者授權:使用 RAM 管理 API
使用API Gateway
後續使用API Gateway時:
授權:API Gateway提供了詳細的RAM管控策略,您可根據需要給對應RAM帳號授予操作許可權。
依賴的其他雲產品:OSS
讀取OSS的模型檔案。
細分情境
情境說明
操作引導連結
開通OSS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通OSS,您需要給RAM帳號授予
AliyunOSSFullAccess
許可權。開通:開通OSS服務
給RAM使用者授權:RAM Policy
常見操作:控制台建立儲存空間
使用OSS
後續使用OSS時:
授權:OSS提供了詳細的RAM管控策略,您可以根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要先建立一個bucket,便於後續上傳檔案至OSS。
依賴的其他雲產品:SLS
配置日誌寫入到SLS。
細分情境
情境說明
操作引導連結
開通SLS
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通API Gateway,您需要給RAM帳號授予
AliyunLogFullAccess
許可權。開通:快速入門
給RAM使用者授權:鑒權規則
常見操作:建立專案Project、建立Logstore
使用SLS
後續使用SLS網關時:
授權:SLS網關提供了詳細的RAM管控策略,您可以根據需要為對應的RAM帳號授予操作許可權。
常見操作:通常需要建立SLS的Project和Logstore,用於後續採集儲存日誌資訊。
依賴的其他雲產品:VPC
VPC高速直連。
細分情境
情境說明
操作引導連結
開通VPC
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通API Gateway,您需要給RAM帳號授予
AliyunVPCFullAccess
許可權。使用VPC
後續使用VPC網關時:
授權:VPC網關提供了詳細的RAM管控策略,您可以根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要建立好Virtual Private Cloud和對應的交換器,用於後續綁定VPC並進行網路連通。
依賴的其他雲產品:CloudMonitor
服務監控警示。
細分情境
情境說明
操作引導連結
開通CloudMonitor
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外的授權操作。如果您希望使用RAM帳號開通API Gateway,您需要給RAM帳號授予
AliyunCloudMonitorFullAccess
許可權。給RAM使用者授權:RAM鑒權
常見操作:步驟一:配置警示連絡人、步驟二:配置警示規則
使用CloudMonitor
後續使用CloudMonitor網關時:
授權:CloudMonitor網關提供了詳細的RAM管控策略,您可以根據需要為對應的RAM帳號授予操作許可權。
常見操作:通常需要配置警示連絡人、警示規則。
AI資產管理
AI資產管理為您提供了AI開發過程中,將開發相關資料資產化,並一站式管理相關資產的平台。當您使用AI資產平台建立並管理對應資產時,可能需要依賴以下相關雲產品,您需要提前開通並做好授權操作。
PAI子產品:AI資產管理
操作帳號類型
使用情境
操作引導連結
主帳號
主帳號可直接進行AI資產的所有操作,無需額外授權。
不涉及
RAM帳號
(推薦)
PAI為您提供了不同的成員角色,您可根據需要將RAM使用者添加為對應角色的工作空間成員,使其擁有對應子產品的操作許可權。各角色的許可權詳情可前往附錄:角色及許可權列表。
依賴的其他雲產品:ACR
使用AI資產管理平台建立自訂鏡像,將其沉澱為AI資產並進行管理時,需依賴ACR。
細分情境
情境說明
操作引導連結
開通CloudMonitor
建議您使用主帳號進行開通操作。使用主帳號開通時無需額外授權操作。如果您希望使用RAM帳號開通API Gateway,您需要給RAM帳號授予
AliyunContainerRegistryFullAccess
許可權。給RAM使用者授權:RAM授權資訊
常見操作:使用企業版與經濟版執行個體構建鏡像
使用CloudMonitor
後續使用CloudMonitor網關時:
授權:CloudMonitor網關提供了詳細的RAM管控策略,您可根據需要給對應RAM帳號授予操作許可權。
常見操作:通常需要準備好構建鏡像的Dockerfile檔案後,先建立好自訂鏡像,然後將鏡像通過AI資產平台沉澱為AI資產。
AI加速
AI加速為您提供訓練、推理等AI加速能力。
使用大部分AI加速功能時,您僅需擁有對應模型開發、訓練、推理的子產品操作許可權即可,無需額外授權。
僅使用資料集加速時,您需要購買資料集加速資源執行個體並配置加速槽。
資料集加速執行個體資源購買、配置的操作帳號建議使用主帳號。
RAM帳號操作時需被授予
AliyunPAIFullAccess
和AliyunDatasetAccFullAccess
許可權。