使用PAI进行AI开发过程中,不同的开发场景下需要联合使用一些其他阿里云产品,如OSS、MaxCompute等,因此在正式开始AI开发前,您需要根据场景提前开通好对应的其他云产品并做好授权,以保障后续的开发工作可以顺利进行。本文介绍各场景下依赖的其他云产品列表及权限要求。
了解授权对象:PAI服务账号、阿里云操作账号
在进行其他云产品开通和授权前,您可以先了解下需要授权的对象,有助于理解后续的授权操作。在使用PAI的过程中,您需要对两个对象进行授权。
授权对象 | 授权对象描述 | 开通及授权操作的入口与指引 |
PAI服务账号 | 开通PAI时,系统会为您创建一个PAI的服务账号,用于后续在使用过程中使用PAI的子产品、访问其他相关云产品,因此您需要为PAI服务账号授予相应的权限,以保障后续操作能够顺利执行。 | 通常在开通PAI时已完成(即开通页面中的授权操作),如果开通时有遗漏的授权操作,在后续的操作界面上也会提示需要进行授权,您在对应的授权提示页面也可通过单击授权一键完成授权。 |
用户操作时使用的阿里云账号 | 在使用PAI进行AI开发时,您需要使用您的阿里云账号登录并对PAI的各子产品、依赖的其他云产品进行相应的操作。因此,您需要根据实际业务需要为不同的阿里云账号授予相应的权限。 说明
| 不同操作场景下依赖的云产品列表,以及对应云产品对操作账号的权限要求,请参见下文。 |
PAI子产品及依赖的其他阿里云产品
使用PAI时,不同的场景下依赖的云产品列表及权限要求如下。
开通PAI及购买PAI资源
操作的阿里云账号建议
建议使用阿里云主账号进行PAI的开通和PAI资源购买的操作(例如购买通用训练资源等资源购买操作)。
权限要求
操作账号类型
权限要求
操作引导链接
主账号
(推荐)
主账号可直接进行开通和资源购买操作,无需额外授权。
不涉及
RAM账号
如果您需要使用RAM账号开通PAI,或使用RAM账号购买PAI资源,您需要给RAM账号授予
AliyunPAIFullAccess权限。说明AliyunPAIFullAccess权限范围较大,建议您直接使用主账号进行操作。
AI工作空间管理
AI工作空间是PAI的顶层概念,为企业和团队提供统一的计算资源管理及人员权限管理能力,为AI开发者提供支持团队协作的全流程开发工具以及AI资产管理能力。您可以使用主账号或RAM账号进行AI工作空间相关操作。
PAI子产品:AI工作空间
操作账号类型
权限要求
主账号
主账号可直接进行AI工作空间的所有操作,无需额外授权。
RAM账号
当主账号下有很多RAM账号且各RAM账号的使用人业务角色较多时,可结合业务人员情况,给不同RAM账号授予资源管理员(主账号/通过RAM授权)、工作空间管理员/负责人、算法开发、算法运维、标注管理员、访客成员角色的权限。各角色对工作空间的操作权限明细可前往附录:角色及权限列表。
依赖的其他云产品:Eventbridge
PAI工作空间为您提供了消息通知机制,实现对DLC任务或Designer任务状态的跟踪和监控等功能。工作空间的消息通知功能依赖EventBridge,因此您需要开通EventBridge并授予对应的权限。
AI开发:iTAG
智能标注(iTAG)是一款智能化数据标注平台,支持图像、文本、视频、音频等多种数据类型的标注以及多模态的混合标注。您使用iTAG进行数据标注时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。
PAI子产品:iTAG
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行iTAG的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表。
依赖的其他云产品:OSS
标注数据集的输入和输出依赖于OSS数据源,因此您需要开通OSS并授予对应的权限。
细分场景
场景说明
操作引导链接
开通OSS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予
AliyunOSSFullAccess权限。开通:开通OSS服务
给RAM用户授权:RAM Policy
常见操作:控制台创建存储空间
使用OSS
后续使用OSS时:
授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。
AI开发:Designer
Designer提供界面化的、端到端的机器学习全链路开发环境,并内置了丰富且成熟的机器学习算法。当您使用Designer进行模型开发时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。
PAI子产品:Designer
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行Designer的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表。
依赖的其他PAI子产品:通用计算资源
在使用Designer进行AI开发时,您需要准备相应的计算资源,您可以使用PAI提供的通用AI计算资源。
购买通用AI计算资源时建议使用主账号进行操作,而在使用RAM账号时需被授予
AliyunPAIFullAccess权限。权限要求详情请参见上文的开通PAI及购买PAI资源。依赖的其他云产品:MaxCompute
Designer中提供上百种基于MaxCompute框架实现的自研算法,如果需要使用相关算法您就需要开通MaxCompute,您可以在使用过程中遇到提示按需开通。
细分场景
场景说明
操作引导链接
开通MaxCompute
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通MaxCompute,则需要给RAM账号授予AliyunBSSOrderAccess和AliyunDataWorksFullAccess权限。
使用MaxCompute
需为工作空间添加MaxCompute开发角色,详情请参见添加成员。
依赖的其他云产品:OSS
使用深度学习算法组件时,依赖OSS数据源,因此您需要开通OSS并授予对应的权限。
细分场景
场景说明
操作引导链接
开通OSS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予
AliyunOSSFullAccess权限。开通:开通OSS服务
给RAM用户授权:RAM Policy
常见操作:控制台创建存储空间
使用OSS
后续使用OSS时:
授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。
依赖的其他云产品:Flink
Designer中提供了几十种基于Flink框架实现的阿里自研算法。如果需要使用相关算法,您就需要开通Flink。您可以在使用过程中按需开通。
细分场景
场景说明
操作引导链接
开通Flink
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通Flink,您需要给RAM账号授予
AliyunStreamFullAccess权限。开通:开通实时计算Flink版
给RAM用户授权:RAM授权
使用Flink
后续使用Flink时:
授权:Flink提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。
AI开发:DSW
DSW是一款云端机器学习开发IDE,为您提供交互式编程环境,适用于不同水平的开发者。在使用DSW进行交互式建模时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。
PAI子产品:DSW
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行DSW的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表。
依赖的其他云产品:NAS
系统为使用公共资源组创建的DSW实例提供一定存储空间的云盘,用于持久化存储。如果该实例停机超过15天未开机,云盘的内容将被清空。而使用专有资源组创建的DSW实例则提供非持久化的本地存储。如果您希望长期保留数据,建议挂载NAS来实现持久化存储。因此您需要开通NAS并授予对应的权限。
细分场景
场景说明
操作引导链接
开通NAS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通NAS,您需要给该RAM账号授予
AliyunNASFullAccess权限。给RAM用户授权:使用RAM权限策略控制NAS访问权限
常见操作:创建NAS文件系统
使用NAS
后续使用NAS时:
授权:NAS提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建NAS文件系统,便于后续挂载至PAI的子产品资源实例中。
AI开发:DLC
DLC为您提供了模型训练任务创建与提交的平台。您使用DLC创建提交训练任务时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。
PAI子产品:DLC
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行DLC的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表。
依赖的其他云产品:NAS
文件持久化存储需要依赖NAS,因此您需要开通NAS并授予对应的权限。
细分场景
场景说明
操作引导链接
开通NAS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通NAS,您需要给该RAM账号授予
AliyunNASFullAccess权限。给RAM用户授权:使用RAM权限策略控制NAS访问权限
常见操作:创建NAS文件系统
使用NAS
后续使用NAS时:
授权:NAS提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建NAS文件系统,便于后续挂载至PAI的子产品资源实例中。
依赖的其他云产品:OSS
数据存储依赖OSS,因此您需要开通OSS并授予对应的权限。
细分场景
场景说明
操作引导链接
开通OSS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予
AliyunOSSFullAccess权限。开通:开通OSS服务
给RAM用户授权:RAM Policy
常见操作:控制台创建存储空间
使用OSS
后续使用OSS时:
授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。
AI开发:EAS
通过EAS,您可以将模型快速部署为RESTful API,然后通过HTTP请求的方式调用该服务。在使用EAS进行模型部署时,可能需要依赖以下相关云产品。您需要提前开通并做好授权操作。
PAI子产品:EAS
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行EAS的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了详细的RAM管控策略,您可以根据需要为对应的RAM账号授予操作权限。例如:
EAS的管理权限:需授予
AliyunPAIEASFullAccess角色权限。EAS的只读权限:需授予
AliyunPAIEASReadOnlyAccess角色权限。
依赖的其他云产品:API网关
通过API网关的公网调用功能,实现EAS部署后的服务公网调试与访问。
细分场景
场景说明
操作引导链接
开通API网关
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予
AliyunApiGatewayFullAccess权限。给RAM用户授权:使用 RAM 管理 API
使用API网关
后续使用API网关时:
授权:API网关提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。
依赖的其他云产品:OSS
读取OSS的模型文件。
细分场景
场景说明
操作引导链接
开通OSS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予
AliyunOSSFullAccess权限。开通:开通OSS服务
给RAM用户授权:RAM Policy
常见操作:控制台创建存储空间
使用OSS
后续使用OSS时:
授权:OSS提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。
常见操作:通常需要先创建一个bucket,便于后续上传文件至OSS。
依赖的其他云产品:SLS
配置日志写入到SLS。
细分场景
场景说明
操作引导链接
开通SLS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予
AliyunLogFullAccess权限。开通:快速入门
给RAM用户授权:鉴权规则
常见操作:创建项目Project、创建Logstore
使用SLS
后续使用SLS网关时:
授权:SLS网关提供了详细的RAM管控策略,您可以根据需要为对应的RAM账号授予操作权限。
常见操作:通常需要创建SLS的Project和Logstore,用于后续采集存储日志信息。
依赖的其他云产品:VPC
VPC高速直连。
细分场景
场景说明
操作引导链接
开通VPC
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予
AliyunVPCFullAccess权限。使用VPC
后续使用VPC网关时:
授权:VPC网关提供了详细的RAM管控策略,您可以根据需要给对应RAM账号授予操作权限。
常见操作:通常需要创建好专有网络VPC和对应的交换机,用于后续绑定VPC并进行网络连通。
依赖的其他云产品:云监控
服务监控报警。
细分场景
场景说明
操作引导链接
开通云监控
建议您使用主账号进行开通操作。使用主账号开通时无需额外的授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予
AliyunCloudMonitorFullAccess权限。给RAM用户授权:RAM鉴权
常见操作:步骤一:配置报警联系人、步骤二:配置报警规则
使用云监控
后续使用云监控网关时:
授权:云监控网关提供了详细的RAM管控策略,您可以根据需要为对应的RAM账号授予操作权限。
常见操作:通常需要配置报警联系人、报警规则。
AI资产管理
AI资产管理为您提供了AI开发过程中,将开发相关数据资产化,并一站式管理相关资产的平台。当您使用AI资产平台创建并管理对应资产时,可能需要依赖以下相关云产品,您需要提前开通并做好授权操作。
PAI子产品:AI资产管理
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行AI资产的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。各角色的权限详情可前往附录:角色及权限列表。
依赖的其他云产品:ACR
使用AI资产管理平台创建自定义镜像,将其沉淀为AI资产并进行管理时,需依赖ACR。
细分场景
场景说明
操作引导链接
开通云监控
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通API网关,您需要给RAM账号授予
AliyunContainerRegistryFullAccess权限。给RAM用户授权:RAM授权信息
常见操作:使用企业版实例构建镜像
使用云监控
后续使用云监控网关时:
授权:云监控网关提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。
常见操作:通常需要准备好构建镜像的Dockerfile文件后,先创建好自定义镜像,然后将镜像通过AI资产平台沉淀为AI资产。
AI加速
AI加速为您提供训练、推理等AI加速能力。
使用大部分AI加速功能时,您仅需拥有对应模型开发、训练、推理的子产品操作权限即可,无需额外授权。
仅使用数据集加速时,您需要购买数据集加速资源实例并配置加速槽。
数据集加速实例资源购买、配置的操作账号建议使用主账号。
RAM账号操作时需被授予
AliyunPAIFullAccess和AliyunDatasetAccFullAccess权限。