首次使用大模型应用开发(LangStudio),需要对LangStudio服务角色进行云资源访问授权,并开通依赖的云产品服务。本文介绍LangStudio依赖的云产品服务和使用LangStudio时所需的授权操作。
背景信息
使用LangStudio前,您需要先为操作账号授权使用LangStudio功能的通用权限,使账号能够操作使用LangStudio功能。如果您需要对不同的RAM用户进行不同的权限细分管控,PAI也支持您通过工作空间对RAM用户进行LangStudio操作权限的细化管控。此外,LangStudio会在后台使用对象存储OSS进行文件存储,使用日志服务SLS和可观测链路OpenTelemetry版进行应用流的开发调试,以及使用PAI的子产品EAS进行应用流的部署,因此,需要您授权LangStudio服务账号对以上产品的访问权限。授权操作详情,请参见下文的操作指导。
操作账号授权
在使用LangStudio时,依赖以下相关云产品,您需要做好授权操作。
PAI子产品:LangStudio
操作账号类型
使用场景
操作引导链接
主账号
主账号可直接进行LangStudio的所有操作,无需额外授权。
不涉及
RAM账号
(推荐)
PAI为您提供了不同的成员角色,您可根据需要将RAM用户添加为对应角色的工作空间成员,使其拥有对应子产品的操作权限。
对象存储OSS:用于存储您在开发大模型应用流时使用的代码和配置文件,以及开发调试过程产生的日志和部署服务的快照文件。
细分场景
场景说明
操作引导链接
开通OSS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通OSS,您需要给RAM账号授予AliyunOSSFullAccess权限。
开通:控制台快速入门
给RAM用户授权:RAM Policy
常见操作:控制台快速入门
使用OSS
后续使用OSS时:
授权:OSS提供了详细的RAM管控策略,您可根据需要给对应RAM账号授予操作权限。
常见操作:通常需要创建好一个存储空间(Bucket),便于后续上传文件至OSS。
可观测链路OpenTelemetry版:用于大模型工作流开发和部署服务的日志链路追踪。
细分场景
场景说明
操作引导链接
开通可观测链路OpenTelemetry版
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通可观测链路,您需要给RAM账号授予AliyunARMSFullAccess权限。
开通:快速入门
给RAM用户授权:借助RAM用户实现分权
使用可观测链路OpenTelemetry版
您可以在LangStudio控制台查看开发调试或部署服务产生的链路追踪日志,也可以前往可观测链路 OpenTelemetry 版控制台进行查看。
日志服务SLS(间接依赖,为可观测链路OpenTelemetry版所需):用于可观测链路OpenTelemetry版存储日志数据。
细分场景
场景说明
操作引导链接
开通日志服务SLS
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通SLS,您需要给RAM账号授予AliyunLogFullAccess权限。
开通:资源管理概述
给RAM用户授权:创建RAM用户及授权
专有网络VPC:在应用流的运行或部署过程中,系统需要查询您的专有网络VPC配置信息,以便正确部署EAS服务。
细分场景
场景说明
操作引导链接
开通专有网络VPC
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通专有网络VPC,您需要给RAM账号授予AliyunVPCFullAccess权限。
开通:创建和管理专有网络
给RAM用户授权:使用RAM进行访问控制
PAI:用于访问PAI工作空间及PAI子产品。
细分场景
场景说明
操作引导链接
开通人工智能平台PAI
建议您使用主账号进行开通操作。使用主账号开通时无需额外授权操作。如果您希望使用RAM账号开通PAI,您需要给RAM账号授予AliyunPAIFullAccess权限。
给RAM用户授权:RAM角色登录并使用PAI
PAI服务账号授权
为阿里云账号(主账号)授权LangStudio通用权限
首次开通LangStudio时,您需要为当前阿里云账号授权LangStudio通用权限,以确保LangStudio正常提供服务。具体操作步骤如下:
登录PAI控制台,在右侧选择目标工作空间后,单击进入LangStudio。
进行云资源访问授权。
单击去授权。
在云资源访问授权页面,单击同意授权。
在云资源访问授权页面,系统自动配置LangStudio需要的关联角色,无需手动配置。
授权AliyunServiceRoleForPaiLLMTrace、AliyunServiceRoleForPaiLangStudio和AliyunServiceRoleForPaiEas角色。
在LangStudio页面,单击立即授权,大约等待3分钟,即可完成授权。
参考1:如何修改LangStudio服务角色的授权策略
如果您需要对云资源访问授权进行更精细的管控,可以在RAM控制台对已授权的AliyunPAILangStudioDefaultRole角色进行自定义权限策略。
请确保您对RAM权限策略有充分的认识,避免操作不当引起LangStudio功能不可用。
下面以修改OSS的授权策略为例,说明如何对LangStudio默认服务角色进行更精细化的授权,具体操作步骤如下。
OSS支持对Bucket打标签,您可以对授权LangStudio访问的Bucket打上标签(Key-Value键值对),例如Key:Product, Value:PaiLangStudio。具体操作,请参见管理存储空间标签。
查看AliyunPAILangStudioDefaultRole默认权限策略。
登录RAM控制台,并在左侧导航栏选择。
在角色页面的搜索框中,输入AliyunPAILangStudioDefaultRole进行搜索,并单击目标角色名称。
在权限管理页面单击权限策略名称,查看并拷贝默认策略内容。
{ "Version": "1", "Statement": [ { "Action": [ "eas:CreateService", "eas:ListServices", "eas:DescribeService", "eas:DeleteService", "eas:UpdateService", "eas:StartService", "eas:StopService" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListObjects" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "paillmtrace:GetXtraceToken" ], "Resource": "*", "Effect": "Allow" } ] }
权限策略内容可根据上述拷贝的默认策略内容进行修改。例如修改OSS授权策略内容,为通过Condition指定可访问的OSS Bucket,示例内容如下:
说明在实际使用时,请移除所有的注释内容。
{ "Version": "1", "Statement": [ //其他授权策略,不要修改 //修改OSS授权策略,通过指定Tag限定授权访问的OSS资源 { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListObjects" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "oss:BucketTag/Product": "PaiLangStudio" } } } ] }名称配置为CustomAliyunPAILangStudioDefaultRolePolicy。
将新创建的自定义权限策略CustomAliyunPAILangStudioDefaultRolePolicy添加到AliyunPAILangStudioDefaultRole角色,并解除该角色默认的授权策略AliyunPAILangStudioDefaultRolePolicy。具体操作,请参见为RAM角色授权和为RAM角色移除权限。
更新成功后,LangStudio则会按照新增的授权策略访问您的资源。
参考2:检查账号是否关联AliyunPAILangStudioDefaultRole角色
您可以按照以下操作步骤,来确认当前阿里云账号是否拥有AliyunPAILangStudioDefaultRole这一角色。
仅主账号可以进行授权,RAM用户无法授权。
登录RAM控制台,在左侧导航栏,单击身份管理>角色。
在角色页面的搜索框中,输入AliyunPAILangStudioDefaultRole,进行搜索。
如果搜索到了该角色,则表示已经授权了LangStudio服务角色。
如果没有搜索到该角色,则需进行授权操作。具体操作,请参见为阿里云账号(主账号)授权LangStudio通用权限。