當您的企業存在多用戶協同訪問服務的場景時,您可以創建多個RAM用戶并按需為其分配最小權限,避免多用戶共享阿里云賬號(主賬號)密碼或訪問密鑰,從而降低企業的安全風險。
使用場景
以下兩種場景需要創建RAM用戶,并授予業務需要的最小化操作權限:
RAM用戶以API/SDK調用AI搜索開放平臺服務時,以AccessKey實現調用者身份鑒權。
RAM用戶通過AI搜索開放平臺使用工作臺功能,常見場景如:
權限策略
系統權限策略
系統權限策略統一由阿里云創建,用戶只能使用,不能修改,策略的版本更新由阿里云維護。AI搜索開放平臺提供以下兩種系統權限策略:
AliyunOpenSearchFullAccess:管理開放搜索(OpenSearch)服務的權限。此權限策略包含權限點列表中的所有權限,謹慎為RAM用戶授予此權限策略。
AliyunOpenSearchReadOnlyAccess:只讀訪問開放搜索(OpenSearch)服務的權限。此策略權限包含權限點列表中的所有管控API權限列表(List、Describe)讀權限和流量API權限列表中的所有權限。
自定義權限策略
自主創建權限策略,實現權限精細化管理。
權限點列表
管控API權限列表
操作類別 | API | RAM Action | Resource | 描述 |
工作空間 | CreateWorkspace | searchplat:WriteWorkspace | workspaces/* | 創建工作空間以及開通AI搜索開放平臺。 說明 AI搜索開放平臺可免費開通,不使用不計費。 |
UpdateWorkspace | searchplat:WriteWorkspace | workspaces/{workspaceName} | 修改工作空間 | |
GetWorkspace | searchplat:DescribeWorkspace | workspaces/{workspaceName} | 獲取工作空間詳情 | |
ListWorkspaces | searchplat:ListWorkspaces | workspaces/* | 獲取工作空間列表 | |
訪問憑證 | CreateCredentials | searchplat:WriteCredentials | workspaces/{workspaceName} | 創建訪問憑證 |
DeleteCredentials | searchplat:WriteCredentials | workspaces/{workspaceName} | 刪除訪問憑證 | |
UpdateCredentials | searchplat:WriteCredentials | workspaces/{workspaceName} | 修改訪問憑證 | |
GetCredentials | searchplat:DescribeCredentials | workspaces/{workspaceName} | 獲取訪問憑證詳情 | |
ListCredentials | searchplat:DescribeCredentials | workspaces/{workspaceName} | 獲取訪問憑證列表 | |
計算剩余免費額度次數 | GetMeasure | searchplat:DescribeMeasure | workspaces/{workspaceName} | 獲取工作空間剩余免費服務額度。 |
體驗數據 | CreateExperienceData | searchplat:WriteExperienceData | workspaces/{workspaceName} | 添加體驗數據 |
DeleteExperienceData | searchplat:WriteExperienceData | workspaces/{workspaceName} | 刪除體驗數據 | |
GetExperienceData | searchplat:DescribeExperienceData | workspaces/{workspaceName} | 獲取體驗數據詳情 | |
ListExperienceData | searchplat:DescribeExperienceData | workspaces/{workspaceName} | 獲取體驗數據列表 | |
異步任務 | CreateAsyncTask | searchplat:WriteAsyncTask | workspaces/{workspaceName} | 創建異步任務 |
GetAsyncTask | searchplat:DescribeAsyncTask | workspaces/{workspaceName} | 獲取異步任務詳情 | |
ListAsyncTasks | searchplat:DescribeAsyncTask | workspaces/{workspaceName} | 獲取異步任務列表 | |
效果測評 | CreateRagEvaluatorTask | searchplat:WriteEvaluation | workspaces/{workspaceName} | 創建評測任務 |
GetRagEvaluatorTask | searchplat:DescribeEvaluation | workspaces/{workspaceName} | 獲取評測任務詳情 | |
ListRagEvaluatorTasks | searchplat:DescribeEvaluation | workspaces/{workspaceName} | 獲取評測任務列表 | |
DeleteRagEvaluatorTask | searchplat:WriteEvaluation | workspaces/{workspaceName} | 刪除評測任務 | |
模型服務 | CreateFunctionInstance | searchplat:WriteFunction | workspaces/{workspaceName} | 創建服務/模型 |
CreateFunctionTask | workspaces/{workspaceName} | 立即激活服務配置 | ||
UpdateFunctionInstance | workspaces/{workspaceName} | 更改服務/模型配置 | ||
DeleteFunctionInstance | workspaces/{workspaceName} | 刪除服務/模型配置 | ||
ListFunctionInstances | searchplat:DescribeFunction | workspaces/{workspaceName} | 獲取服務/模型配置詳情列表 | |
GetFunctionInstance | workspaces/{workspaceName} | 獲取服務/模型配置詳情 | ||
GetTableFields | searchplat:GetTableFields | workspaces/{workspaceName} | 獲取MaxCompute表結構 |
流量API權限列表
API | Action | Resource | 描述 |
GetTextEmbedding | searchplat:GetTextEmbedding | workspaces/{workspaceName} | 文本向量化服務 |
GetTextSparseEmbedding | searchplat:GetTextSparseEmbedding | workspaces/{workspaceName} | 文本稀疏向量化服務 |
CreateDocumentAnalyzeTask | searchplat:CreateDocumentAnalyzeTask | workspaces/{workspaceName} | 創建異步請求文檔解析服務 |
DescribeDocumentAnalyzeTask | searchplat:DescribeDocumentAnalyzeTask | workspaces/{workspaceName} | 獲取異步請求文檔解析結果服務 |
GetDocumentAnalysis | searchplat:GetDocumentAnalysis | workspaces/{workspaceName} | 獲取同步文檔解析結果服務 |
GetDocumentSplit | searchplat:GetDocumentSplit | workspaces/{workspaceName} | 文檔切片服務 |
GetDocumentRank | searchplat:GetDocumentRank | workspaces/{workspaceName} | 排序服務 |
GetTextGeneration | searchplat:GetTextGeneration | workspaces/{workspaceName} | 內容生成大模型服務 |
GetImageAnalysis | searchplat:GetImageAnalysis | workspaces/{workspaceName} | 獲取同步圖片解析結果服務 |
GetQueryAnalysis | searchplat:GetQueryAnalysis | workspaces/{workspaceName} | 查詢分析服務 |
操作步驟
步驟一:創建RAM用戶
RAM用戶是RAM的一種實體身份類型,有確定的身份ID和身份憑證,它通常與某個確定的人或應用程序一一對應。RAM用戶具備以下特點:
RAM用戶由阿里云賬號(主賬號)或具有管理員權限的其他RAM用戶、RAM角色創建,創建成功后,歸屬于該阿里云賬號,它不是獨立的阿里云賬號。
RAM用戶不擁有資源,不能獨立計量計費,由所屬的阿里云賬號統一付費。
RAM用戶必須在獲得授權后,才能登錄控制臺或使用API訪問阿里云賬號下的資源。
RAM用戶擁有獨立的登錄密碼或AccessKey。
一個阿里云賬號下可以創建多個RAM用戶,對應企業內的員工、系統或應用程序。
如何創建RAM用戶請參見創建RAM用戶。
步驟二:創建自定義權限策略
參照常見最小化權限組合示例,從權限點列表中選擇權限點組合成業務最小化權限策略,創建自定義授權策略請參見創建自定義權限策略。
步驟三:授權RAM用戶
為RAM用戶授予RAM的系統策略或自定義策略后,RAM用戶就能以策略中對應的權限訪問阿里云資源。建議您遵循最小化原則,按需授予RAM用戶必要的權限。如何授權請參見為RAM用戶授權。
對RAM用戶設置或更新權限配置后,延遲5分鐘后生效。
常見最小化權限組合示例
示例1:允許RAM用戶查看工作空間列表、查看服務剩余免費額度次數、在default空間中調用文檔切片服務,對應的授權策略如下:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "searchplat:ListWorkspaces",
"Resource": "acs:searchplat:*:*:workspaces/*"
},
{
"Effect": "Allow",
"Action": [
"searchplat:DescribeWorkspace",
"searchplat:GetDocumentSplit",
"searchplat:DescribeMeasure"
],
"Resource": "acs:searchplat:*:*:workspaces/default"
}
]
}示例2:允許RAM用戶查看工作空間列表、查看服務剩余免費額度次數,在default空間中管理API Key、調用文檔切片服務。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"searchplat:ListWorkspaces"
],
"Resource": "acs:searchplat:*:*:workspaces/*"
},
{
"Effect": "Allow",
"Action": [
"searchplat:DescribeWorkspace",
"searchplat:WriteCredentials",
"searchplat:GetDocumentSplit",
"searchplat:DescribeCredentials",
"searchplat:DescribeMeasure"
],
"Resource": "acs:searchplat:*:*:workspaces/default"
}
]
}