常见问题现象:RAM子账号在相应工作空间点击模型在线服务(EAS)报异常:
Forbidden.PrivilegeDenied
Sub-user 236006749297742618 doesn't have eas:ListServices privilege to access acs:eas:cn-hangzhou:1572029006649097:service/*. Please refer to
- 主账户查看实例
- RAM账号查看实例
- 根据报错提示,由于子用户XXXXXX97742618没有eas:ListServices(查看模型服务列表)权限访问。所以需要主账号XXXXXX6649097在杭州地域下相应空间给与子账号授予查看相应实例的权限。详情请参考文档:云产品依赖与授权:EAS
目前PAI-EAS提供以下三种授权方式,您可以结合业务需要进行选择:
- 为RAM用户授予PAI-EAS的管理权限:AliyunPAIEASFullAccess 为RAM用户授予该权限后,RAM用户即可拥有使用PAI-EAS功能的完整权限
- 为RAM用户授予PAI-EAS的只读权限:AliyunPAIEASReadOnlyAccess 为RAM用户授予该权限后,RAM用户即可查询、浏览已部署的PAI-EAS服务
- 为RAM用户进行精细化授权: 如果上述提供的两种系统策略不能满足您的需求,可以通过创建自定义权限策略的方式为RAM用户进行精细化授权。例如设置查询、修改已部署服务或专属资源组的权限
1.为子账号授予PAI-EAS的AliyunPAIEASFullAccess管理权限过程简单演示
操作流程
- 主账号登录RAM控制台
- 在左侧导航栏,选择身份管理 > 用户
- 在用户页面,单击目标RAM用户操作列的添加权限
- 在添加权限面板,为RAM用户添加AliyunPAIEASFullAccess权限
- 单击确定
- 具体操作流程可参考官网文档:为RAM用户授予PAI-EAS的管理权限
- 主账号登录RAM控制台在左侧导航栏,选择身份管理 > 用户
- 在添加权限面板,为RAM用户添加AliyunPAIEASFullAccess权限
- 登录子账号再次查看PAI-EAS服务列表
2.为子账号授予进行精细化授权过程简单演示
操作流程
- 主账号登录访问控制台
- 在左侧导航栏,选择权限策略管理》新建权限策略
- 在权限策略中选择脚本编辑,输入策略脚本配置及基础信息名称。
- 在人员管理用户中,对想要授权的子账号进行添加权限操作
- 选择刚刚创建的自定义权限策略,单击确定完成
- 登录子账号进入PAI控制台点击EAS服务再次查看
- 主账号登录访问控制台新建权限策略
- 脚本编辑内容
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "eas:CreateInstance",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"eas:DescribeService",
"eas:DeleteService",
"eas:UpdateService",
"eas:ListServices"
],
"Resource": "acs:eas:cn-hangzhou:*:service/*"
}
]
}- 对想要授权的子账号进行添加权限操作
- 登录子账号再次查看PAI-EAS服务列表
