Skip to content

配置一站式 AI 平台权限

当团队使用 AIStudio 开发机、任务或推理服务时,先从一站式 AI 平台内置策略开始授权。只有在内置策略的操作集合过宽或过窄时,再创建自定义策略。

选择开发者或只读用户

先判断成员需要管理负载,还是只需要查看负载。

  • 一站式 AI 平台开发者:适合需要创建和管理 AIStudio 负载的团队成员。授权后可增删改查开发机、任务、推理服务。
  • 一站式 AI 平台只读用户:适合只需要查看 AIStudio 负载的审计、排障或协作成员。授权后可查看开发机、任务、推理服务。

在 AIStudio 中,您需要按服务选择授权范围。常见范围包括我的指定资源池指定资源租户下所有,实际可选范围以授权页面显示为准。同一服务内选择多个范围时,这些范围会一起生效;同一用户或用户组获得多个授权策略时,多条策略的授权结果也会一起生效。

按服务配置授权范围

  • 我的:用户只能操作自己创建的对应负载。
  • 指定资源池:用户可操作指定资源池下所有用户创建的对应负载。
  • 指定资源:用户可操作被选中的具体资源。
  • 租户下所有:用户可操作租户下所有用户创建的对应负载。

如果只希望成员使用某个项目或部门的算力资源,请在相关服务中选择指定资源池,并选择对应资源池。该范围会影响用户能看到和操作哪些开发机、任务、推理服务。

警告

多条授权结果会一起生效。 如果同一服务在多个授权策略中都配置了范围,平台会让这些授权结果同时生效;但每条策略允许用户执行的操作仍只作用于该策略配置的授权范围。

例如,策略 A 允许查看开发机,范围是租户下所有;策略 B 允许增删改查开发机,范围是我的。最终用户可以查看租户下所有开发机,但只能增删改查自己创建的开发机。

内置策略过宽时创建自定义策略

如果团队只需要部分操作,例如只允许查看任务,或只允许登录开发机,请创建自定义策略并只勾选需要的 AIStudio 操作。创建后,再按用户或用户组配置授权范围。

确认 SSH 登录和外网 API 不受 IAM 控制

以下能力不通过 IAM 的“权限策略 + 授权范围”模型控制。授予或回收 AIStudio 内置策略时,不会自动改变这些能力的访问方式。

  • 开发机远程 SSH 登录不受 IAM 策略保护。请通过 SSH 密码、SSH 公钥和账号安全流程控制登录风险。
  • AIStudio 推理服务的外网访问 API 鉴权不受 IAM 策略保护。请通过 API Key、网络暴露范围和服务侧安全配置控制调用风险。

常见问题

以下问题用于澄清 AIStudio 内置策略和非 IAM 能力的边界。配置授权范围时,请特别注意:同一服务内选择多个范围会一起生效;同一用户或用户组获得多个授权策略时,多条授权结果也会一起生效。

选择指定资源池后,用户只能操作自己创建的负载吗?

不是。指定资源池限制的是资源池,不是创建者。为开发机、任务、推理服务选择指定资源池后,用户可操作该资源池下所有用户创建的对应负载。

如果只希望用户操作自己创建的负载,请只保留对应服务的我的范围。如果同一策略中同时选择我的指定资源池,用户既能操作自己创建的负载,也能操作指定资源池下所有用户创建的负载。

如果用户还获得了其他策略,平台会让多条策略的授权结果一起生效,但不会把一条策略允许执行的操作自动扩大到另一条策略的范围。

授权 AIStudio 策略后,SSH 登录也会自动受 IAM 控制吗?

不会。开发机远程 SSH 登录不受 IAM 策略保护。请通过 SSH 密码、SSH 公钥和账号安全流程控制登录风险。

授权 AIStudio 策略后,推理服务外网 API 也会自动受 IAM 控制吗?

不会。AIStudio 推理服务的外网访问 API 鉴权不受 IAM 策略保护。请通过 API Key、网络暴露范围和服务侧安全配置控制调用风险。