全部產品
Search
文件中心

Platform For AI:雲產品依賴與授權:EAS

更新時間:Jul 13, 2024

如果RAM使用者需要使用EAS相關服務,則阿里雲帳號需要為該RAM使用者授權。本文介紹如何為RAM使用者授權。

背景資訊

EAS提供以下三種授權方式,您可以結合業務需要進行選擇:

  • 為RAM使用者授予EAS的系統管理權限

    EAS提供系統策略AliyunPAIEASFullAccess,包含了EAS的系統管理權限。為RAM使用者授予該許可權後,RAM使用者即可擁有使用EAS功能的完整許可權。

  • 為RAM使用者授予EAS的唯讀許可權

    EAS提供系統策略AliyunPAIEASReadOnlyAccess,包含唯讀許可權。為RAM使用者授予該許可權後,RAM使用者即可查詢、瀏覽已部署的EAS服務。

  • 為RAM使用者進行精細化授權

    如果上述提供的兩種系統策略不能滿足您的需求,可以通過建立自訂權限原則的方式為RAM使用者進行精細化授權。例如設定查詢、修改已部署服務或專屬資源群組的許可權。

為RAM使用者授予EAS的系統管理權限

為RAM使用者授予EAS的系統管理權限後,RAM使用者即可擁有使用EAS功能的完整許可權。

  1. 登入RAM控制台

  2. 為RAM使用者添加EAS系統管理權限,具體操作,詳情請參見為RAM使用者授權

    其中:

    • 資源範圍:選擇帳號層級

    • 權限原則:選擇系統策略AliyunPAIEASFullAccess

      說明

      由於OSS許可權為安全敏感許可權,因此該許可權不在AliyunPAIEASFullAccess中,如果RAM使用者需要使用OSS,請單獨為其進行OSS授權,詳情請參見RAM策略編輯器

為RAM使用者授予EAS的唯讀許可權

為RAM使用者授予EAS的唯讀許可權後,RAM使用者即可查詢、瀏覽已部署的EAS服務。

  1. 登入RAM控制台

  2. 為RAM使用者添加EAS系統管理權限,具體操作,詳情請參見為RAM使用者授權

    其中:

    • 資源範圍:選擇帳號層級

    • 權限原則:選擇系統策略AliyunPAIEASReadOnlyAccess

為RAM使用者進行精細化授權

如果需要詳細的為RAM使用者佈建查詢、修改已部署服務或專屬資源群組的許可權,則需要按照如下步驟為RAM使用者進行精細化授權。

  1. 登入RAM控制台

  2. 建立自訂權限原則,具體操作請參見通過指令碼編輯模式建立自訂權限原則

    重要

    請根據RAM使用者需要使用的許可權,謹慎定義權限原則。

    例如,配置指令碼內容為如下內容。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": "eas:CreateInstance",
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "eas:DescribeService",
                    "eas:DeleteService",
                    "eas:UpdateService",
                    "eas:UpdateServiceVersion"
                ],
                "Resource": [
                    "acs:eas:<region>:<uid>:service/eas-m-xxx1",//樣本,請參考下文的權限原則說明進行修改。
                    "acs:eas:<region>:<uid>:service/eas-m-xxx2"
                ],
            }
        ]
    }

    指令碼內容中的ActionResource取值詳情,請參見下文的權限原則說明

  3. 為RAM使用者授權,具體操作,請參見為RAM使用者授權

    其中:

    • 資源範圍:選擇帳號層級

    • 權限原則:選擇步驟2建立的自訂策略。

權限原則說明

權限原則中主要包含ActionResource兩部分,其中Action表示要執行的操作,Resource表示要操作的對象。關於ActionResource的取值如下所示:

  • Action

    類別

    Action

    描述

    服務相關

    eas:CreateService

    建立模型服務

    eas:ListServices

    查看模型服務列表

    eas:DescribeService

    查看模型服務詳情

    eas:DeleteService

    刪除模型服務

    eas:DeleteServiceLabel

    刪除模型服務標籤

    eas:ListServiceInstances

    查看模型服務執行個體資訊

    eas:DeleteServiceInstances

    重啟模型服務執行個體

    eas:UpdateService

    更新模型服務、增加版本

    eas:UpdateServiceVersion

    切換模型服務版本

    eas:StartService

    啟動模型服務

    eas:StopService

    停止模型服務

    eas:UpdateService

    更新模型服務

    eas:UpdateServiceLabel

    更新模型服務標籤

    eas:RestartService

    重啟模型服務

    eas:CreateServiceAutoScaler

    開啟模型服務自動擴縮容

    eas:CreateServiceCronScaler

    開啟模型服務定時擴縮容

    eas:DeleteServiceAutoScaler

    關閉模型服務自動擴縮容

    eas:DeleteServiceCronScaler

    關閉模型服務定時擴縮容

    eas:DescribeServiceAutoScaler

    查看模型服務自動擴縮容狀態

    eas:DescribeServiceCronScaler

    查看模型服務定時擴縮容資訊

    eas:UpdateServiceAutoScaler

    更新模型服務自動擴縮容配置

    eas:UpdateServiceCronScaler

    更新模型服務定時擴縮容配置

    eas:CreateAppService

    建立應用服務

    eas:UpdateServiceSafetyLock

    更新服務安全鎖

    eas:UpdateServiceInstance

    更新服務執行個體屬性

    eas:UpdateAppService

    更新應用服務

    eas:DescribeServiceDiagnosis

    查看服務診斷詳情

    eas:DescribeServiceInstanceDiagnosis

    查看服務執行個體診斷詳情

    eas:DescribeServiceEvent

    查詢模型服務部署事件

    eas:DescribeGroup

    查看服務群組詳情

    eas:ListServiceVersions

    查詢服務歷史版本

    eas:ListServiceContainers

    查詢服務的容器列表

    eas:ListGroups

    查看服務群組列表

    eas:CreateServiceMirror

    建立模型服務流量鏡像

    eas:DescribeServiceMirror

    查看模型服務流量鏡像狀態

    eas:UpdateServiceMirror

    更新模型服務流量鏡像配置

    eas:DeleteServiceMirror

    關閉模型服務流量鏡像

    eas:ReleaseService

    配置藍綠部署服務流量比例

    eas:DescribeServiceLog

    查看模型服務日誌資訊

    資源群組相關

    eas:CreateResource

    建立專屬資源群組

    eas:DescribeResource

    查看專屬資源群組基本資料

    eas:ListResources

    查看專屬資源群組列表

    eas:DeleteResource

    刪除專屬資源群組

    eas:UpdateResource

    更新專屬資源群組基本資料

    eas:ListResourceInstances

    查看專屬資源群組機器執行個體列表

    eas:ListResourceInstanceWorker

    查看專屬資源群組機器執行個體建立的容器列表

    eas:ListResourceServices

    查看專屬資源群組中已部署的服務

    eas:CreateResourceInstances

    建立專屬資源群組機器執行個體

    eas:UpdateResourceInstance

    更新專屬資源群組機器執行個體

    eas:DeleteResourceInstances

    刪除專屬資源群組機器執行個體

    eas:UpdateResourceDLink

    更新專屬資源群組VPC直連狀態

    eas:DescribeResourceDLink

    查看專屬資源群組VPC直連狀態

    eas:DeleteResourceDLink

    刪除專屬資源群組VPC直連配置

    eas:CreateResourceLog

    開啟專屬資源群組SLS日誌投遞

    eas:DescribeResourceLog

    查看專屬資源群組SLS日誌投遞狀態

    eas:DeleteResourceLog

    刪除專屬資源群組SLS日誌投遞配置

    壓測任務相關

    eas:CreateBenchmarkTask

    建立壓測任務

    eas:DeleteBenchmarkTask

    刪除壓測任務

    eas:DescribeBenchmarkTask

    查看壓測任務詳情

    eas:DescribeBenchmarkTaskReport

    查看壓測任務測試報告

    eas:ListBenchmarkTask

    查詢壓測工作清單

    eas:StartBenchmarkTask

    啟動壓測任務

    eas:StopBenchmarkTask

    停止壓測任務

    eas:UpdateBenchmarkTask

    更新壓測任務

    私人網關相關

    eas:CreateGateway

    建立私人網關

    eas:DescribeGateway

    查看私人網關詳情

    eas:UpdateGateway

    更新私人網關

    eas:CreateGatewayIntranetLinkedVpc

    建立私人網關內網訪問端點

    eas:ListGatewayIntranetLinkedVpc

    查看私人網關內網訪問端點列表

    eas:DeleteGatewayIntranetLinkedVpc

    刪除私人網關內網訪問端點

    eas:DeleteGateway

    刪除私人網關

  • Resource

    EAS中對Resource的描述格式如下所示。

    acs:eas:<region>:<uid>:<resource_type>/<id>

    您需要將以下參數替換為實際值:

    • <region>:服務或專屬資源群組所在的地區。

    • <uid>:可操作帳號的uid。

    • <resource_type>:資源類型。例如操作服務相關的資源時,取值為service;操作資源群組相關的資源時,取值為resource

    • <id>:服務或專屬資源群組的ID。

    以下分別以操作指定公用資源群組部署的服務、專屬資源群組部署的服務、專屬資源群組為例,示範Resource的取值:

    • 操作已部署的指定服務

      • 操作公用資源群組部署的服務

        acs:eas:cn-hangzhou:123456789012****:service/eas-m-u12fxt9ml1syoj****

        上述Resource表示可操作帳號123456789012****在華東1(杭州)部署的ID為eas-m-u12fxt9ml1syoj****的公用資源群組服務。

        acs:eas:cn-hangzhou:123456789012****:service/your_service_name

        上述Resource表示可操作帳號123456789012****在華東1(杭州)部署的名稱為your_service_name的公用資源群組服務。

      • 操作專屬資源群組部署的服務

        acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai81****/service/eas-m-iaskn1skn1us****

        上述Resource表示可操作帳號123456789012****在華東2(上海)的ID為eas-r-jksauxqjsai8****的專屬資源群組中部署的eas-m-iaskn1skn1us****服務。

        acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/your_private_service

        上述Resource表示可操作帳號123456789012****在華東2(上海)的ID為eas-r-jksauxqjsai8****的專屬資源群組中部署的名稱為your_private_service的服務。

    • 操作指定的專屬資源群組

      acs:eas:cn-beijing:123456789012****:resource/eas-r-jksauxqjsai8****

      上述Resource表示可操作帳號123456789012****在華北2(北京)的ID為eas-r-jksauxqjsai8****的專屬資源群組。

    • 大量授權

      您可以將Resource描述格式中任意部分替換為星號(*),以實現大量授權。

      以下樣本展示大量授權時,Resource的取值範例:

      • acs:eas:*:123456789012****:service/*

        Resource表示可操作帳號123456789012****在所有地區的所有公用資源群組的服務。

      • acs:eas:cn-hangzhou:123456789012****:resource/eas-r-jksauxqjsai8****/*

        Resource表示可操作帳號123456789012****在華東1(杭州)的eas-r-jksauxqjsai8****專屬資源群組中部署的所有服務。

      • acs:eas:*:123456789012****:*

        Resource表示可操作帳號123456789012****在所有地區的所有資源群組和所有服務。

      • acs:eas:*:123456789012****:service/prefix*

        Resource表示可操作帳號123456789012****在所有地區的名稱首碼為prefix的公用資源群組服務。