背景信息

實例RAM角色是一種可信實體為阿里云服務的RAM角色，即允許云服務扮演的角色，用于解決跨服務訪問的問題。關于RAM角色的詳細說明，請參見什么是RAM角色。

基于實例RAM角色獲取臨時訪問憑證來驗證身份信息和訪問權限控制，具有以下優勢：

• 安全保密

  無需在實例內管理憑據，使用STS臨時訪問憑證替代長期AccessKey，降低密鑰泄露風險。

• 便捷可控

  通過修改實例RAM角色的權限策略，可更便捷、更精細地控制各開發者在DSW實例內訪問云資源時的權限。

使用限制

一個DSW實例現只能關聯一個RAM角色。

步驟一：為DSW實例配置RAM角色

場景一：為實例授權PAI默認角色

PAI默認角色僅擁有訪問PAI內部產品、MaxCompute和OSS的權限，且權限更加精細。基于PAI默認角色簽發的臨時訪問憑證，在訪問PAI內部產品、MaxCompute表時，將擁有等同于DSW實例所有者的權限；在訪問OSS時，僅能訪問當前工作空間配置的默認存儲路徑Bucket。

為實例授權PAI默認角色能夠讓您無需額外創建RAM角色，即可在實例內獲取一份可訪問基本開發資源、且無越權的臨時訪問憑證。

為實例授權PAI默認角色后，以下場景的用戶可以免配置AK：

• 通過PAI SDK創建訓練任務提交至當前工作空間。

• 通過DLC SDK創建訓練任務提交至當前工作空間。

• 通過ODPS SDK提交任務到實例所有者有執行權限的MaxCompute項目中。

• 通過OSS SDK訪問當前工作空間配置的默認存儲路徑Bucket中的數據。

• 在WebIDE中使用通義靈碼服務。

場景二：為實例授權自定義角色

1. 登錄RAM控制臺，創建RAM角色。具體操作，請參見創建可信實體為阿里云服務的RAM角色。

   其中，關鍵參數配置如下：

   • 角色類型：阿里云服務

   • 角色類型：普通服務角色

   • 選擇受信服務：人工智能平臺PAI

2. 為已創建的實例RAM角色授權。

   將系統策略或者自定義權限策略授權給RAM角色，使其擁有相關的資源訪問或操作權限。具體操作，請參見步驟三：為RAM角色授權。

   （可選）PAI默認角色的RAM策略如下，您可以基于該策略進行添加或修改。

   {
       "Version": "1",
       "Statement": [
           {
               "Action": [
                   "oss:GetObject",
                   "oss:PutObject",
                   "oss:DeleteObject",
                   "oss:ListParts",
                   "oss:AbortMultipartUpload",
                   "oss:ListObjects",
                   "oss:ListBuckets",
                   "oss:PutBucketCors",
                   "oss:GetBucketCors",
                   "oss:DeleteBucketCors",
                   "oss:GetBucketInfo"
               ],
               "Resource": [
                   "acs:oss:*:*:${bucketName}",
                   "acs:oss:*:*:${bucketName}/*"
               ],
               "Effect": "Allow"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "odps:ActOnBehalfOfAnotherUser"
               ],
               "Resource": "acs:odps:*:*:users/*"
           },
           {
               "Effect": "Allow",
               "Action": [
                   "pai:AssumeUser"
               ],
               "Resource": "acs:pai:*:*:users/*"
           }
       ]
   }
   

   說明

   若您使用的是RAM用戶（子賬號），請聯系阿里云賬號（主賬號）為您授予使用該實例RAM角色的權限。

   權限策略請參見如下代碼，其中，需要將${RoleName}替換為DSW實例RAM角色的名稱。

   {
     "Version": "1",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "ram:PassRole",
         "Resource": "acs:ram::*:role/${RoleName}"
       }
     ]
   }

3. 創建DSW實例并關聯實例RAM角色。具體操作，請參見創建DSW實例。

   

場景三：實例不關聯RAM角色

如果您的實例設置為工作空間公開可見，建議不要為實例關聯RAM角色，避免權限泄露。您可以在新建實例或變更實例配置時，將高級信息區域的實例RAM角色設置為不關聯角色。

更新實例RAM角色配置

1. 進入DSW頁面。

   1. 登錄PAI控制臺。

   2. 在概覽頁面選擇目標地域。

   3. 在左側導航欄單擊工作空間列表，在工作空間列表頁面中單擊待操作的工作空間名稱，進入對應工作空間內。

   4. 在工作空間頁面的左側導航欄選擇模型開發與訓練>交互式建模（DSW），進入DSW頁面。

2. 單擊DSW實例右側的變更配置。

3. 在高級信息區域配置實例RAM角色。

   說明

   當實例RAM由PAI默認角色/自定義角色切換為不關聯角色，或由不關聯角色切換為PAI默認角色/自定義角色時，如果實例正在運行中，更新操作會立即重啟實例。請確保您已及時保存實例。

4. 完成配置后，單擊確定。

步驟二：基于實例RAM角色獲取臨時訪問憑證

您可在授權過RAM角色的DSW實例中通過以下方式獲取臨時訪問憑證。

方式一：通過Credentials工具獲取

Credentials工具會調用實例本地的服務（實例創建時已自動注入）獲取STS臨時訪問憑證，該憑證會周期性更新。

通過Credentials工具獲取實例RAM角色的訪問憑證，需要執行如下命令安裝阿里云Credentials工具（以Python為例）。

pip install alibabacloud_credentials

Credentials工具使用示例如下，更多語言SDK示例，請參見使用訪問憑據訪問阿里云OpenAPI最佳實踐。

from alibabacloud_credentials.client import Client as CredClient
from alibabacloud_credentials.models import Config as CredConfig

credentialsConfig = CredConfig(
	type='credentials_uri'   # 選填。若您未配置其他“默認憑據鏈”訪問方式，您無需再顯式指定，Credentials SDK會通過uri方式獲取臨時憑證
)
credentialsClient = CredClient(CredConfig)

方式二：直接訪問DSW實例本地服務獲取

在DSW實例內，您可在Terminal執行如下命令，訪問本地自動注入的server直接獲取。

# 獲取實例RAM角色的臨時授權訪問憑證
curl $ALIBABA_CLOUD_CREDENTIALS_URI

返回示例如下，其中：

• SecurityToken：實例RAM角色的臨時Token。

• Expiration：實例RAM角色的臨時授權訪問憑證的有效期。

{
	"Code": "Success",
	"AccessKeyId": "STS.N*********7",
	"AccessKeySecret": "3***************d",
	"SecurityToken": "DFE32G*******"
	"Expiration": "2024-05-21T10:39:29Z"
}

方式三：直接訪問實例本地內文件獲取

您可在DSW實例內訪問指定路徑的文件（由PAI自動注入并周期性刷新），獲取實例RAM角色的臨時訪問憑證。該文件所在的路徑為/mnt/.alibabacloud/credentials，文件內容如下：

{
	"AccessKeyId": "STS.N*********7",
	"AccessKeySecret": "3***************d",
	"SecurityToken": "DFE32G*******"
	"Expiration": "2024-05-21T10:39:29Z"
}

步驟三：基于實例RAM角色訪問其他云產品

示例一：基于實例RAM角色訪問ODPS

1. 執行如下命令，安裝Credentials工具和ODPS SDK。

   # 安裝credentials工具
   pip install alibabacloud_credentials
   # 安裝odps sdk
   pip install odps

2. 使用實例RAM角色的臨時憑證訪問ODPS，并獲取指定項目的table列表。

   from alibabacloud_credentials import providers
   from odps.accounts import CredentialProviderAccount
   from odps import ODPS
   
   if __name__ == '__main__':
       account = CredentialProviderAccount(providers.DefaultCredentialsProvider())
       o = ODPS(
                account=account,
                project="{odps_project}", #需替換為您的project名稱
                endpoint="{odps_endpoint}"#需替換為您的project所在region的endpoint
               )
   
       for t in o.list_tables():
           print(t)

示例二：基于實例RAM角色訪問OSS

1. 執行如下命令，安裝Credentials工具和OSS SDK。

   # 安裝credentials工具
   pip install alibabacloud_credentials
   # 安裝oss sdk
   pip install oss2

2. 使用實例RAM角色的臨時憑證訪問OSS，并列舉指定Bucket下的10個文件。

   import oss2
   from alibabacloud_credentials.client import Client
   from alibabacloud_credentials import providers
   from itertools import islice
   
   auth = oss2.ProviderAuth(providers.DefaultCredentialsProvider())
   bucket = oss2.Bucket(auth, 
                        '{oss_endpoint}',#需替換為您的oss bucket所在region的endpoint
                        '{oss_bucket}'#需替換為您的oss bucket名稱
                       )
   
   for b in islice(oss2.ObjectIterator(bucket), 10):
       print(b.key)

示例三：基于實例RAM角色訪問DLC

1. 執行如下命令，安裝Credentials工具、OpenAPI SDK和DLC SDK。

   # 安裝credentials工具
   pip install alibabacloud_credentials
   # 安裝阿里云openapi sdk
   pip install alibabacloud-tea-util alibabacloud_tea_openapi
   # 安裝pai-dlc sdk
   pip install alibabacloud_pai_dlc20201203

2. 使用實例RAM角色的臨時憑證訪問PAI-DLC，并列舉指定工作空間下的DLC任務。

   from alibabacloud_credentials.client import Client as CredClient
   from alibabacloud_tea_openapi.models import Config
   from alibabacloud_pai_dlc20201203.client import Client as pai_dlc20201203Client
   from alibabacloud_pai_dlc20201203 import models as pai_dlc_20201203_models
   from alibabacloud_tea_util.models import RuntimeOptions
   
   # 使用Credentials工具初始化DLC client
   credentialsClient = CredClient()
   config = Config(credential=credentialsClient)
   config.endpoint = '{dlc_endpoint}' #需替換為您所在region的endpoint
   client = pai_dlc20201203Client(config)
   
   # 初始化請求，并調用ListJobs API
   list_jobs_request = pai_dlc_20201203_models.ListJobsRequest()
   list_jobs_request.workspace_id = '{workspace_id}' #需替換為您的工作空間ID
   runtime_options = RuntimeOptions()
   headers = {}
   resp = client.list_jobs_with_options(list_jobs_request, headers, runtime_options)
   
   jobs = resp.to_map()['body']['Jobs']
   print(jobs[0])

常見問題

選擇自定義角色時，創建實例報錯PassRoleFailedError，應如何解決？

登錄RAM控制臺，確認該角色是否存在。

• 若角色不存在，您需將實例RAM角色修改為已存在的角色。

• 若角色存在，您需聯系主賬號，為您的子賬號授予使用該角色的權限。權限策略如下（需將${RoleName}替換為RAM角色的名稱）：

  {
    "Version": "1",
    "Statement": [
      {
        "Effect": "Allow",
        "Action": "ram:PassRole",
        "Resource": "acs:ram::*:role/${RoleName}"
      }
    ]
  }

選擇自定義角色時，創建實例報錯AssumeRoleFailedError，應如何解決？

該問題的原因，一般由于是您的角色未配置信任策略。請按照如下步驟進行操作：

1. 使用RAM管理員登錄RAM控制臺。

2. 在左側導航欄，選擇身份管理>角色。

3. 在角色頁面，單擊目標RAM角色名稱。

4. 在信任策略頁簽，單擊編輯信任策略。

5. 修改信任策略內容，然后單擊保存信任策略。

   例如，假設該角色原始的信任策略為：

   {
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Effect": "Allow",
         "Principal": {
           "RAM": [
             "acs:ram::aaa:root"
           ],
           "Service": [
             "xxx.aliyuncs.com"
           ]
         }
       }
     ],
     "Version": "1"
   }

   新的策略需要修改為：

   {
     "Statement": [
       {
         "Action": "sts:AssumeRole",
         "Effect": "Allow",
         "Principal": {
           "RAM": [
             "acs:ram::aaa:root"
           ],
           "Service": [
             "xxx.aliyuncs.com",
             "pai.aliyuncs.com" 
           ]
         }
       }
     ],
     "Version": "1"
   }