全部產品
Search

搜尋本產品

    Platform For AI:雲產品依賴與授權:EAS

    文件中心

    Platform For AI:雲產品依賴與授權:EAS

    更新時間:Jul 13, 2024

    如果RAM使用者需要使用EAS相關服務,則阿里雲帳號需要為該RAM使用者授權。本文介紹如何為RAM使用者授權。

    背景資訊

    EAS提供以下三種授權方式,您可以結合業務需要進行選擇:

    • 為RAM使用者授予EAS的系統管理權限

      EAS提供系統策略AliyunPAIEASFullAccess,包含了EAS的系統管理權限。為RAM使用者授予該許可權後,RAM使用者即可擁有使用EAS功能的完整許可權。

    • 為RAM使用者授予EAS的唯讀許可權

      EAS提供系統策略AliyunPAIEASReadOnlyAccess,包含唯讀許可權。為RAM使用者授予該許可權後,RAM使用者即可查詢、瀏覽已部署的EAS服務。

    • 為RAM使用者進行精細化授權

      如果上述提供的兩種系統策略不能滿足您的需求,可以通過建立自訂權限原則的方式為RAM使用者進行精細化授權。例如設定查詢、修改已部署服務或專屬資源群組的許可權。

    為RAM使用者授予EAS的系統管理權限

    為RAM使用者授予EAS的系統管理權限後,RAM使用者即可擁有使用EAS功能的完整許可權。

    1. 登入RAM控制台

    2. 為RAM使用者添加EAS系統管理權限,具體操作,詳情請參見為RAM使用者授權

      其中:

      • 資源範圍:選擇帳號層級

      • 權限原則:選擇系統策略AliyunPAIEASFullAccess

        說明

        由於OSS許可權為安全敏感許可權,因此該許可權不在AliyunPAIEASFullAccess中,如果RAM使用者需要使用OSS,請單獨為其進行OSS授權,詳情請參見RAM策略編輯器

    為RAM使用者授予EAS的唯讀許可權

    為RAM使用者授予EAS的唯讀許可權後,RAM使用者即可查詢、瀏覽已部署的EAS服務。

    1. 登入RAM控制台

    2. 為RAM使用者添加EAS系統管理權限,具體操作,詳情請參見為RAM使用者授權

      其中:

      • 資源範圍:選擇帳號層級

      • 權限原則:選擇系統策略AliyunPAIEASReadOnlyAccess

    為RAM使用者進行精細化授權

    如果需要詳細的為RAM使用者佈建查詢、修改已部署服務或專屬資源群組的許可權,則需要按照如下步驟為RAM使用者進行精細化授權。

    1. 登入RAM控制台

    2. 建立自訂權限原則,具體操作請參見通過指令碼編輯模式建立自訂權限原則

      重要

      請根據RAM使用者需要使用的許可權,謹慎定義權限原則。

      例如,配置指令碼內容為如下內容。

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "eas:CreateInstance",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "eas:DescribeService",
                "eas:DeleteService",
                "eas:UpdateService",
                "eas:UpdateServiceVersion"
            ],
            "Resource": [
                "acs:eas:<region>:<uid>:service/eas-m-xxx1",//樣本,請參考下文的權限原則說明進行修改。
                "acs:eas:<region>:<uid>:service/eas-m-xxx2"
            ],
        }
    ]
}

      指令碼內容中的ActionResource取值詳情,請參見下文的權限原則說明

    3. 為RAM使用者授權,具體操作,請參見為RAM使用者授權

      其中:

      • 資源範圍:選擇帳號層級

      • 權限原則:選擇步驟2建立的自訂策略。

    權限原則說明

    權限原則中主要包含ActionResource兩部分,其中Action表示要執行的操作,Resource表示要操作的對象。關於ActionResource的取值如下所示:

    • Action

      類別

      Action

      描述

      服務相關

      eas:CreateService

      建立模型服務

      eas:ListServices

      查看模型服務列表

      eas:DescribeService

      查看模型服務詳情

      eas:DeleteService

      刪除模型服務

      eas:DeleteServiceLabel

      刪除模型服務標籤

      eas:ListServiceInstances

      查看模型服務執行個體資訊

      eas:DeleteServiceInstances

      重啟模型服務執行個體

      eas:UpdateService

      更新模型服務、增加版本

      eas:UpdateServiceVersion

      切換模型服務版本

      eas:StartService

      啟動模型服務

      eas:StopService

      停止模型服務

      eas:UpdateService

      更新模型服務

      eas:UpdateServiceLabel

      更新模型服務標籤

      eas:RestartService

      重啟模型服務

      eas:CreateServiceAutoScaler

      開啟模型服務自動擴縮容

      eas:CreateServiceCronScaler

      開啟模型服務定時擴縮容

      eas:DeleteServiceAutoScaler

      關閉模型服務自動擴縮容

      eas:DeleteServiceCronScaler

      關閉模型服務定時擴縮容

      eas:DescribeServiceAutoScaler

      查看模型服務自動擴縮容狀態

      eas:DescribeServiceCronScaler

      查看模型服務定時擴縮容資訊

      eas:UpdateServiceAutoScaler

      更新模型服務自動擴縮容配置

      eas:UpdateServiceCronScaler

      更新模型服務定時擴縮容配置

      eas:CreateAppService

      建立應用服務

      eas:UpdateServiceSafetyLock

      更新服務安全鎖

      eas:UpdateServiceInstance

      更新服務執行個體屬性

      eas:UpdateAppService

      更新應用服務

      eas:DescribeServiceDiagnosis

      查看服務診斷詳情

      eas:DescribeServiceInstanceDiagnosis

      查看服務執行個體診斷詳情

      eas:DescribeServiceEvent

      查詢模型服務部署事件

      eas:DescribeGroup

      查看服務群組詳情

      eas:ListServiceVersions

      查詢服務歷史版本

      eas:ListServiceContainers

      查詢服務的容器列表

      eas:ListGroups

      查看服務群組列表

      eas:CreateServiceMirror

      建立模型服務流量鏡像

      eas:DescribeServiceMirror

      查看模型服務流量鏡像狀態

      eas:UpdateServiceMirror

      更新模型服務流量鏡像配置

      eas:DeleteServiceMirror

      關閉模型服務流量鏡像

      eas:ReleaseService

      配置藍綠部署服務流量比例

      eas:DescribeServiceLog

      查看模型服務日誌資訊

      資源群組相關

      eas:CreateResource

      建立專屬資源群組

      eas:DescribeResource

      查看專屬資源群組基本資料

      eas:ListResources

      查看專屬資源群組列表

      eas:DeleteResource

      刪除專屬資源群組

      eas:UpdateResource

      更新專屬資源群組基本資料

      eas:ListResourceInstances

      查看專屬資源群組機器執行個體列表

      eas:ListResourceInstanceWorker

      查看專屬資源群組機器執行個體建立的容器列表

      eas:ListResourceServices

      查看專屬資源群組中已部署的服務

      eas:CreateResourceInstances

      建立專屬資源群組機器執行個體

      eas:UpdateResourceInstance

      更新專屬資源群組機器執行個體

      eas:DeleteResourceInstances

      刪除專屬資源群組機器執行個體

      eas:UpdateResourceDLink

      更新專屬資源群組VPC直連狀態

      eas:DescribeResourceDLink

      查看專屬資源群組VPC直連狀態

      eas:DeleteResourceDLink

      刪除專屬資源群組VPC直連配置

      eas:CreateResourceLog

      開啟專屬資源群組SLS日誌投遞

      eas:DescribeResourceLog

      查看專屬資源群組SLS日誌投遞狀態

      eas:DeleteResourceLog

      刪除專屬資源群組SLS日誌投遞配置

      壓測任務相關

      eas:CreateBenchmarkTask

      建立壓測任務

      eas:DeleteBenchmarkTask

      刪除壓測任務

      eas:DescribeBenchmarkTask

      查看壓測任務詳情

      eas:DescribeBenchmarkTaskReport

      查看壓測任務測試報告

      eas:ListBenchmarkTask

      查詢壓測工作清單

      eas:StartBenchmarkTask

      啟動壓測任務

      eas:StopBenchmarkTask

      停止壓測任務

      eas:UpdateBenchmarkTask

      更新壓測任務

      私人網關相關

      eas:CreateGateway

      建立私人網關

      eas:DescribeGateway

      查看私人網關詳情

      eas:UpdateGateway

      更新私人網關

      eas:CreateGatewayIntranetLinkedVpc

      建立私人網關內網訪問端點

      eas:ListGatewayIntranetLinkedVpc

      查看私人網關內網訪問端點列表

      eas:DeleteGatewayIntranetLinkedVpc

      刪除私人網關內網訪問端點

      eas:DeleteGateway

      刪除私人網關

    • Resource

      EAS中對Resource的描述格式如下所示。

      acs:eas:<region>:<uid>:<resource_type>/<id>

      您需要將以下參數替換為實際值:

      • <region>:服務或專屬資源群組所在的地區。

      • <uid>:可操作帳號的uid。

      • <resource_type>:資源類型。例如操作服務相關的資源時,取值為service;操作資源群組相關的資源時,取值為resource

      • <id>:服務或專屬資源群組的ID。

      以下分別以操作指定公用資源群組部署的服務、專屬資源群組部署的服務、專屬資源群組為例,示範Resource的取值:

      • 操作已部署的指定服務

        • 操作公用資源群組部署的服務

          acs:eas:cn-hangzhou:123456789012****:service/eas-m-u12fxt9ml1syoj****

          上述Resource表示可操作帳號123456789012****在華東1(杭州)部署的ID為eas-m-u12fxt9ml1syoj****的公用資源群組服務。

          acs:eas:cn-hangzhou:123456789012****:service/your_service_name

          上述Resource表示可操作帳號123456789012****在華東1(杭州)部署的名稱為your_service_name的公用資源群組服務。

        • 操作專屬資源群組部署的服務

          acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai81****/service/eas-m-iaskn1skn1us****

          上述Resource表示可操作帳號123456789012****在華東2(上海)的ID為eas-r-jksauxqjsai8****的專屬資源群組中部署的eas-m-iaskn1skn1us****服務。

          acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/your_private_service

          上述Resource表示可操作帳號123456789012****在華東2(上海)的ID為eas-r-jksauxqjsai8****的專屬資源群組中部署的名稱為your_private_service的服務。

      • 操作指定的專屬資源群組

        acs:eas:cn-beijing:123456789012****:resource/eas-r-jksauxqjsai8****

        上述Resource表示可操作帳號123456789012****在華北2(北京)的ID為eas-r-jksauxqjsai8****的專屬資源群組。

      • 大量授權

        您可以將Resource描述格式中任意部分替換為星號(*),以實現大量授權。

        以下樣本展示大量授權時,Resource的取值範例:

        • acs:eas:*:123456789012****:service/*

          Resource表示可操作帳號123456789012****在所有地區的所有公用資源群組的服務。

        • acs:eas:cn-hangzhou:123456789012****:resource/eas-r-jksauxqjsai8****/*

          Resource表示可操作帳號123456789012****在華東1(杭州)的eas-r-jksauxqjsai8****專屬資源群組中部署的所有服務。

        • acs:eas:*:123456789012****:*

          Resource表示可操作帳號123456789012****在所有地區的所有資源群組和所有服務。

        • acs:eas:*:123456789012****:service/prefix*

          Resource表示可操作帳號123456789012****在所有地區的名稱首碼為prefix的公用資源群組服務。