當您在DSW執行個體內訪問其他雲資源時,必須配置存取金鑰來驗證身份資訊。通過為DSW執行個體關聯RAM角色,您可以在執行個體內基於STS臨時憑證訪問其他雲資源,無需再配置長期AccessKey,降低密鑰泄露的風險。本文為您介紹如何建立可信實體為阿里雲服務的RAM角色並授權給DSW執行個體,以及如何基於執行個體RAM角色擷取STS臨時訪問憑證。
背景資訊
執行個體RAM角色是一種可信實體為阿里雲服務的RAM角色,即允許雲端服務扮演的角色,用於解決跨服務訪問的問題。關於RAM角色的詳細說明,請參見什麼是RAM角色。
基於執行個體RAM角色擷取臨時訪問憑證來驗證身份資訊和存取權限控制,具有以下優勢:
安全保密
無需在執行個體內管理認證,使用STS臨時訪問憑證替代長期AccessKey,降低密鑰泄露風險。
便捷可控
通過修改執行個體RAM角色的權限原則,可更便捷、更精細地控制各開發人員在DSW執行個體內訪問雲資源時的許可權。
使用限制
一個DSW執行個體現只能關聯一個RAM角色。
步驟一:為DSW執行個體配置RAM角色
情境一:為執行個體授權PAI預設角色
PAI預設角色僅擁有訪問PAI內部產品、MaxCompute和OSS的許可權,且許可權更加精細。基於PAI預設角色簽發的臨時訪問憑證,在訪問PAI內部產品、MaxCompute表時,將擁有等同於DSW執行個體所有者的許可權;在訪問OSS時,僅能訪問當前工作空間配置的預設儲存路徑Bucket。
為執行個體授權PAI預設角色能夠讓您無需額外建立RAM角色,即可在執行個體內擷取一份可訪問基本開發資源、且無越權的臨時訪問憑證。
為執行個體授權PAI預設角色後,以下情境的使用者可以免配置AK:
通過PAI SDK建立訓練任務提交至當前工作空間。
通過DLC SDK建立訓練任務提交至當前工作空間。
通過ODPS SDK提交任務到執行個體所有者有執行許可權的MaxCompute專案中。
通過OSS SDK訪問當前工作空間配置的預設儲存路徑Bucket中的資料。
在WebIDE中使用通義靈碼服務。
情境二:為執行個體授權自訂角色
登入RAM控制台,建立RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色。
其中,關鍵參數配置如下:
角色類型:阿里雲服務
角色類型:普通服務角色
選擇受信服務:人工智慧平台PAI
為已建立的執行個體RAM角色授權。
將系統策略或者自訂權限原則授權給RAM角色,使其擁有相關的資源訪問或操作許可權。具體操作,請參見步驟三:為RAM角色授權。
(可選)PAI預設角色的RAM策略如下,您可以基於該策略進行添加或修改。
{ "Version": "1", "Statement": [ { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListParts", "oss:AbortMultipartUpload", "oss:ListObjects", "oss:ListBuckets", "oss:PutBucketCors", "oss:GetBucketCors", "oss:DeleteBucketCors", "oss:GetBucketInfo" ], "Resource": [ "acs:oss:*:*:${bucketName}", "acs:oss:*:*:${bucketName}/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "odps:ActOnBehalfOfAnotherUser" ], "Resource": "acs:odps:*:*:users/*" }, { "Effect": "Allow", "Action": [ "pai:AssumeUser" ], "Resource": "acs:pai:*:*:users/*" } ] }
說明若您使用的是RAM使用者(子帳號),請聯絡阿里雲帳號(主帳號)為您授予使用該執行個體RAM角色的許可權。
權限原則請參見如下代碼,其中,需要將
${RoleName}
替換為DSW執行個體RAM角色的名稱。{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram::*:role/${RoleName}" } ] }
建立DSW執行個體並關聯執行個體RAM角色。具體操作,請參見建立DSW執行個體。
情境三:執行個體不關聯RAM角色
如果您的執行個體設定為工作空間公開可見,建議不要為執行個體關聯RAM角色,避免許可權泄露。您可以在建立執行個體或變更執行個體配置時,將進階資訊地區的執行個體RAM角色設定為不關聯角色。
更新執行個體RAM角色配置
進入DSW頁面。
登入PAI控制台。
在概覽頁面選擇目標地區。
在左側導覽列單擊工作空間列表,在工作空間列表頁面中單擊待操作的工作空間名稱,進入對應工作空間內。
在工作空間頁面的左側導覽列選擇模型開發與訓練>互動式建模(DSW),進入DSW頁面。
單擊DSW執行個體右側的變更配置。
在進階資訊地區配置執行個體RAM角色。
說明當執行個體RAM由PAI預設角色/自訂角色切換為不關聯角色,或由不關聯角色切換為PAI預設角色/自訂角色時,如果執行個體正在運行中,更新操作會立即重啟執行個體。請確保您已及時儲存執行個體。
完成配置後,單擊確定。
步驟二:基於執行個體RAM角色擷取臨時訪問憑證
您可在授權過RAM角色的DSW執行個體中通過以下方式擷取臨時訪問憑證。
方式一:通過Credentials工具擷取
Credentials工具會調用執行個體本地的服務(執行個體建立時已自動注入)擷取STS臨時訪問憑證,該憑證會周期性更新。
通過Credentials工具擷取執行個體RAM角色的訪問憑證,需要執行如下命令安裝阿里雲Credentials工具(以Python為例)。
pip install alibabacloud_credentials
Credentials工具使用樣本如下,更多語言SDK樣本,請參見使用訪問憑據訪問阿里雲OpenAPI最佳實務。
from alibabacloud_credentials.client import Client as CredClient
from alibabacloud_credentials.models import Config as CredConfig
credentialsConfig = CredConfig(
type='credentials_uri' # 選填。若您未配置其他“預設憑據鏈”訪問方式,您無需再顯式指定,Credentials SDK會通過uri方式擷取臨時憑證
)
credentialsClient = CredClient(CredConfig)
方式二:直接存取DSW執行個體本地服務擷取
在DSW執行個體內,您可在Terminal執行如下命令,訪問本地自動注入的server直接擷取。
# 擷取執行個體RAM角色的臨時授權訪問憑證
curl $ALIBABA_CLOUD_CREDENTIALS_URI
返回樣本如下,其中:
SecurityToken:執行個體RAM角色的臨時Token。
Expiration:執行個體RAM角色的臨時授權訪問憑證的有效期間。
{
"Code": "Success",
"AccessKeyId": "STS.N*********7",
"AccessKeySecret": "3***************d",
"SecurityToken": "DFE32G*******"
"Expiration": "2024-05-21T10:39:29Z"
}
方式三:直接存取執行個體本地內檔案擷取
您可在DSW執行個體內訪問指定路徑的檔案(由PAI自動注入並周期性重新整理),擷取執行個體RAM角色的臨時訪問憑證。該檔案所在的路徑為/mnt/.alibabacloud/credentials
,檔案內容如下:
{
"AccessKeyId": "STS.N*********7",
"AccessKeySecret": "3***************d",
"SecurityToken": "DFE32G*******"
"Expiration": "2024-05-21T10:39:29Z"
}
步驟三:基於執行個體RAM角色訪問其他雲產品
樣本一:基於執行個體RAM角色訪問ODPS
執行如下命令,安裝Credentials工具和ODPS SDK。
# 安裝credentials工具 pip install alibabacloud_credentials # 安裝odps sdk pip install odps
使用執行個體RAM角色的臨時憑證訪問ODPS,並擷取指定專案的table列表。
from alibabacloud_credentials import providers from odps.accounts import CredentialProviderAccount from odps import ODPS if __name__ == '__main__': account = CredentialProviderAccount(providers.DefaultCredentialsProvider()) o = ODPS( account=account, project="{odps_project}", #需替換為您的project名稱 endpoint="{odps_endpoint}"#需替換為您的project所在region的endpoint ) for t in o.list_tables(): print(t)
樣本二:基於執行個體RAM角色訪問OSS
執行如下命令,安裝Credentials工具和OSS SDK。
# 安裝credentials工具 pip install alibabacloud_credentials # 安裝oss sdk pip install oss2
使用執行個體RAM角色的臨時憑證訪問OSS,並列舉指定Bucket下的10個檔案。
import oss2 from alibabacloud_credentials.client import Client from alibabacloud_credentials import providers from itertools import islice auth = oss2.ProviderAuth(providers.DefaultCredentialsProvider()) bucket = oss2.Bucket(auth, '{oss_endpoint}',#需替換為您的oss bucket所在region的endpoint '{oss_bucket}'#需替換為您的oss bucket名稱 ) for b in islice(oss2.ObjectIterator(bucket), 10): print(b.key)
樣本三:基於執行個體RAM角色訪問DLC
執行如下命令,安裝Credentials工具、OpenAPI SDK和DLC SDK。
# 安裝credentials工具 pip install alibabacloud_credentials # 安裝阿里雲openapi sdk pip install alibabacloud-tea-util alibabacloud_tea_openapi # 安裝pai-dlc sdk pip install alibabacloud_pai_dlc20201203
使用執行個體RAM角色的臨時憑證訪問PAI-DLC,並列舉指定工作空間下的DLC任務。
from alibabacloud_credentials.client import Client as CredClient from alibabacloud_tea_openapi.models import Config from alibabacloud_pai_dlc20201203.client import Client as pai_dlc20201203Client from alibabacloud_pai_dlc20201203 import models as pai_dlc_20201203_models from alibabacloud_tea_util.models import RuntimeOptions # 使用Credentials工具初始化DLC client credentialsClient = CredClient() config = Config(credential=credentialsClient) config.endpoint = '{dlc_endpoint}' #需替換為您所在region的endpoint client = pai_dlc20201203Client(config) # 初始化請求,並調用ListJobs API list_jobs_request = pai_dlc_20201203_models.ListJobsRequest() list_jobs_request.workspace_id = '{workspace_id}' #需替換為您的工作空間ID runtime_options = RuntimeOptions() headers = {} resp = client.list_jobs_with_options(list_jobs_request, headers, runtime_options) jobs = resp.to_map()['body']['Jobs'] print(jobs[0])
常見問題
選擇自訂角色時,建立執行個體報錯PassRoleFailedError,應如何解決?
登入RAM控制台,確認該角色是否存在。
若角色不存在,您需將執行個體RAM角色修改為已存在的角色。
若角色存在,您需聯絡主帳號,為您的子帳號授予使用該角色的許可權。權限原則如下(需將
${RoleName}
替換為RAM角色的名稱):{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "ram:PassRole", "Resource": "acs:ram::*:role/${RoleName}" } ] }
選擇自訂角色時,建立執行個體報錯AssumeRoleFailedError,應如何解決?
該問題的原因,一般由於是您的角色未配置信任策略。請按照如下步驟進行操作:
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇身份管理>角色。
在角色頁面,單擊目標RAM角色名稱。
在信任策略頁簽,單擊編輯信任策略。
修改信任策略內容,然後單擊儲存信任策略。
例如,假設該角色原始的信任策略為:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::aaa:root" ], "Service": [ "xxx.aliyuncs.com" ] } } ], "Version": "1" }
新的策略需要修改為:
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::aaa:root" ], "Service": [ "xxx.aliyuncs.com", "pai.aliyuncs.com" ] } } ], "Version": "1" }