阿里云人工智能平台PAI云产品依赖与授权：EAS-云淘科技

背景信息

EAS提供以下三种授权方式，您可以结合业务需要进行选择：

• 为RAM用户授予EAS的管理权限

  EAS提供系统策略AliyunPAIEASFullAccess，包含了EAS的管理权限。为RAM用户授予该权限后，RAM用户即可拥有使用EAS功能的完整权限。

• 为RAM用户授予EAS的只读权限

  EAS提供系统策略AliyunPAIEASReadOnlyAccess，包含只读权限。为RAM用户授予该权限后，RAM用户即可查询、浏览已部署的EAS服务。

• 为RAM用户进行精细化授权

  如果上述提供的两种系统策略不能满足您的需求，可以通过创建自定义权限策略的方式为RAM用户进行精细化授权。例如设置查询、修改已部署服务或专属资源组的权限。

为RAM用户授予EAS的管理权限

为RAM用户授予EAS的管理权限后，RAM用户即可拥有使用EAS功能的完整权限。

1. 登录RAM控制台。

2. 为RAM用户添加EAS管理权限，具体操作，详情请参见为RAM用户授权。

   其中：

   • 授权范围：选择整个云账号。

   • 选择权限：选择系统策略页签的AliyunPAIEASFullAccess权限策略。

     说明

     由于OSS权限为安全敏感权限，因此该权限不在AliyunPAIEASFullAccess中，如果RAM用户需要使用OSS，请单独为其进行OSS授权，详情请参见RAM策略编辑器。

为RAM用户授予EAS的只读权限

为RAM用户授予EAS的只读权限后，RAM用户即可查询、浏览已部署的EAS服务。

1. 登录RAM控制台。

2. 为RAM用户添加EAS管理权限，具体操作，详情请参见为RAM用户授权。

   其中：

   • 授权范围：选择整个云账号。

   • 选择权限：选择系统策略页签的AliyunPAIEASReadOnlyAccess权限策略。

为RAM用户进行精细化授权

如果需要详细的为RAM用户设置查询、修改已部署服务或专属资源组的权限，则需要按照如下步骤为RAM用户进行精细化授权。

1. 登录RAM控制台。

2. 创建自定义权限策略，具体操作请参见通过脚本编辑模式创建自定义权限策略。

   重要

   请根据RAM用户需要使用的权限，谨慎定义权限策略。

   例如，配置脚本内容为如下内容。

   {
       "Version": "1",
       "Statement": [
           {
               "Effect": "Allow",
               "Action": "eas:CreateInstance",
               "Resource": "*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "eas:DescribeService",
                   "eas:DeleteService",
                   "eas:UpdateService",
                   "eas:UpdateServiceVersion"
               ],
               "Resource": [
                   "acs:eas:::service/eas-m-xxx1",//示例，请参考下文的权限策略说明进行修改。
                   "acs:eas:::service/eas-m-xxx2"
               ],
           }
       ]
   }

   脚本内容中的Action和Resource取值详情，请参见下文的权限策略说明。

3. 为RAM用户授权，具体操作，详情请参见为RAM用户授权。

   其中：

   • 授权范围：选择整个云账号。

   • 选择权限：在自定义策略页签选择步骤2创建的自定义策略。

权限策略说明

权限策略中主要包含Action和Resource两部分，其中Action表示要执行的操作，Resource表示要操作的对象。关于Action和Resource的取值如下所示：

• Action

  类别	Action	描述
  服务相关	eas:CreateService	创建模型服务
  	eas:ListServices	查看模型服务列表
  	eas:DescribeService	查看模型服务详情
  	eas:DeleteService	删除模型服务
  	eas:ListServiceInstances	查看模型服务实例信息
  	eas:DeleteServiceInstances	重启模型服务实例
  	eas:UpdateService	更新模型服务、增加版本
  	eas:UpdateServiceVersion	切换模型服务版本
  	eas:StartService	启动模型服务
  	eas:StopService	停止模型服务
  	eas:CreateServiceAutoScaler	开启模型服务自动扩缩容
  	eas:DeleteServiceAutoScaler	关闭模型服务自动扩缩容
  	eas:DescribeServiceAutoScaler	查看模型服务自动扩缩容状态
  	eas:UpdateServiceAutoScaler	修改模型服务自动扩缩容配置
  	eas:CreateServiceMirror	创建模型服务流量镜像
  	eas:DescribeServiceMirror	查看模型服务流量镜像状态
  	eas:UpdateServiceMirror	修改模型服务流量镜像配置
  	eas:DeleteServiceMirror	关闭模型服务流量镜像
  	eas:ReleaseService	配置蓝绿部署服务流量比例
  	eas:DescribeServiceLog	查看模型服务日志信息
  资源组相关	eas:CreateResource	创建专属资源组
  	eas:DescribeResource	查看专属资源组基本信息
  	eas:ListResources	查看专属资源组列表
  	eas:DeleteResource	删除专属资源组
  	eas:UpdateResource	更新专属资源组基本信息
  	eas:ListResourceInstances	查看专属资源组机器实例列表
  	eas:ListResourceInstanceWorker	查看专属资源组机器实例创建的容器列表
  	eas:ListResourceServices	查看专属资源组中已部署的服务
  	eas:CreateResourceInstances	创建专属资源组机器实例
  	eas:DeleteResourceInstances	删除专属资源组机器实例
  	eas:UpdateResourceDLink	更新专属资源组VPC直连状态
  	eas:DescribeResourceDLink	查看专属资源组VPC直连状态
  	eas:DeleteResourceDLink	删除专属资源组VPC直连配置
  	eas:CreateResourceLog	开启专属资源组SLS日志投递
  	eas:DescribeResourceLog	查看专属资源组SLS日志投递状态
  	eas:DeleteResourceLog	删除专属资源组SLS日志投递配置

• Resource

  EAS中对Resource的描述格式如下所示。

  acs:eas:::/

  您需要将以下参数替换为实际值：

  • ：服务或专属资源组所在的地域。

  • ：可操作账号的uid。

  • ：资源类型。例如操作服务相关的资源时，取值为service；操作资源组相关的资源时，取值为resource。

  • ：服务或专属资源组的ID。

  以下分别以操作指定公共资源组部署的服务、专属资源组部署的服务、专属资源组为例，演示Resource的取值：

  • 操作已部署的指定服务

    • 操作公共资源组部署的服务

      acs:eas:cn-hangzhou:123456789012****:service/eas-m-u12fxt9ml1syoj****

      上述Resource表示可操作账号123456789012****在华东1（杭州）部署的ID为eas-m-u12fxt9ml1syoj****的公共资源组服务。

      acs:eas:cn-hangzhou:123456789012****:service/your_service_name

      上述Resource表示可操作账号123456789012****在华东1（杭州）部署的名称为your_service_name的公共资源组服务。

    • 操作专属资源组部署的服务

      acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai81****/service/eas-m-iaskn1skn1us****

      上述Resource表示可操作账号123456789012****在华东2（上海）的ID为eas-r-jksauxqjsai8****的专属资源组中部署的eas-m-iaskn1skn1us****服务。

      acs:eas:cn-shanghai:123456789012****:resource/eas-r-jksauxqjsai8****/service/your_private_service

      上述Resource表示可操作账号123456789012****在华东2（上海）的ID为eas-r-jksauxqjsai8****的专属资源组中部署的名称为your_private_service的服务。

  • 操作指定的专属资源组

    acs:eas:cn-beijing:123456789012****:resource/eas-r-jksauxqjsai8****

    上述Resource表示可操作账号123456789012****在华北2（北京）的ID为eas-r-jksauxqjsai8****的专属资源组。

  • 批量授权

    您可以将Resource描述格式中任意部分替换为星号（*），以实现批量授权。

    以下示例展示批量授权时，Resource的取值样例：

    • acs:eas:*:123456789012****:service/*

      该Resource表示可操作账号123456789012****在所有地域的所有公共资源组的服务。

    • acs:eas:cn-hangzhou:123456789012****:resource/eas-r-jksauxqjsai8****/*

      该Resource表示可操作账号123456789012****在华东1（杭州）的eas-r-jksauxqjsai8****专属资源组中部署的所有服务。

    • acs:eas:*:123456789012****:*

      该Resource表示可操作账号123456789012****在所有地域的所有资源组和所有服务。

    • acs:eas:*:123456789012****:service/prefix*

      该Resource表示可操作账号123456789012****在所有地域的名称前缀为prefix的公共资源组服务。