云產(chǎn)品依賴與授權(quán):LangStudio
首次使用大模型應(yīng)用開發(fā)(LangStudio),需要對LangStudio服務(wù)角色進(jìn)行云資源訪問授權(quán),并開通依賴的云產(chǎn)品服務(wù)。本文介紹LangStudio依賴的云產(chǎn)品服務(wù)和使用LangStudio時(shí)所需的授權(quán)操作。
背景信息
使用LangStudio前,您需要先為操作賬號授權(quán)使用LangStudio功能的通用權(quán)限,使賬號能夠操作使用LangStudio功能。如果您需要對不同的RAM用戶進(jìn)行不同的權(quán)限細(xì)分管控,PAI也支持您通過工作空間對RAM用戶進(jìn)行LangStudio操作權(quán)限的細(xì)化管控。此外,LangStudio會(huì)在后臺使用對象存儲OSS進(jìn)行文件存儲,使用日志服務(wù)SLS和可觀測鏈路OpenTelemetry版進(jìn)行應(yīng)用流的開發(fā)調(diào)試,以及使用PAI的子產(chǎn)品EAS進(jìn)行應(yīng)用流的部署,因此,需要您授權(quán)LangStudio服務(wù)賬號對以上產(chǎn)品的訪問權(quán)限。授權(quán)操作詳情,請參見下文的操作指導(dǎo)。
LangStudio產(chǎn)品為您提供一站式的大模型應(yīng)用開發(fā)能力,依賴阿里云的對象存儲OSS、日志服務(wù)SLS、可觀測鏈路OpenTelemetry版,以及PAI的子產(chǎn)品EAS等,您需要做好授權(quán)操作。
授權(quán)阿里云賬號擁有LangStudio的通用操作權(quán)限。
操作賬號授權(quán)
在使用LangStudio時(shí),依賴以下相關(guān)云產(chǎn)品,您需要做好授權(quán)操作。
PAI子產(chǎn)品:LangStudio
操作賬號類型
使用場景
操作引導(dǎo)鏈接
主賬號
主賬號可直接進(jìn)行LangStudio的所有操作,無需額外授權(quán)。
不涉及
RAM賬號
(推薦)
PAI為您提供了不同的成員角色,您可根據(jù)需要將RAM用戶添加為對應(yīng)角色的工作空間成員,使其擁有對應(yīng)子產(chǎn)品的操作權(quán)限。
對象存儲OSS:用于存儲您在開發(fā)大模型應(yīng)用流時(shí)使用的代碼和配置文件,以及開發(fā)調(diào)試過程產(chǎn)生的日志和部署服務(wù)的快照文件。
細(xì)分場景
場景說明
操作引導(dǎo)鏈接
開通OSS
建議您使用主賬號進(jìn)行開通操作。使用主賬號開通時(shí)無需額外授權(quán)操作。如果您希望使用RAM賬號開通OSS,您需要給RAM賬號授予AliyunOSSFullAccess權(quán)限。
開通:控制臺快速入門
給RAM用戶授權(quán):RAM Policy
常見操作:控制臺快速入門
使用OSS
后續(xù)使用OSS時(shí):
授權(quán):OSS提供了詳細(xì)的RAM管控策略,您可根據(jù)需要給對應(yīng)RAM賬號授予操作權(quán)限。
常見操作:通常需要?jiǎng)?chuàng)建好一個(gè)存儲空間(Bucket),便于后續(xù)上傳文件至OSS。
可觀測鏈路OpenTelemetry版:用于大模型工作流開發(fā)和部署服務(wù)的日志鏈路追蹤。
細(xì)分場景
場景說明
操作引導(dǎo)鏈接
開通可觀測鏈路OpenTelemetry版
建議您使用主賬號進(jìn)行開通操作。使用主賬號開通時(shí)無需額外授權(quán)操作。如果您希望使用RAM賬號開通可觀測鏈路,您需要給RAM賬號授予AliyunARMSFullAccess權(quán)限。
開通:快速入門
給RAM用戶授權(quán):借助RAM用戶實(shí)現(xiàn)分權(quán)
使用可觀測鏈路OpenTelemetry版
您可以在LangStudio控制臺查看開發(fā)調(diào)試或部署服務(wù)產(chǎn)生的鏈路追蹤日志,也可以前往可觀測鏈路 OpenTelemetry 版控制臺進(jìn)行查看。
日志服務(wù)SLS(間接依賴,為可觀測鏈路OpenTelemetry版所需):用于可觀測鏈路OpenTelemetry版存儲日志數(shù)據(jù)。
細(xì)分場景
場景說明
操作引導(dǎo)鏈接
開通日志服務(wù)SLS
建議您使用主賬號進(jìn)行開通操作。使用主賬號開通時(shí)無需額外授權(quán)操作。如果您希望使用RAM賬號開通SLS,您需要給RAM賬號授予AliyunLogFullAccess權(quán)限。
開通:資源管理概述
給RAM用戶授權(quán):創(chuàng)建RAM用戶及授權(quán)
專有網(wǎng)絡(luò)VPC:在應(yīng)用流的運(yùn)行或部署過程中,系統(tǒng)需要查詢您的專有網(wǎng)絡(luò)VPC配置信息,以便正確部署EAS服務(wù)。
細(xì)分場景
場景說明
操作引導(dǎo)鏈接
開通專有網(wǎng)絡(luò)VPC
建議您使用主賬號進(jìn)行開通操作。使用主賬號開通時(shí)無需額外授權(quán)操作。如果您希望使用RAM賬號開通專有網(wǎng)絡(luò)VPC,您需要給RAM賬號授予AliyunVPCFullAccess權(quán)限。
給RAM用戶授權(quán):使用RAM進(jìn)行訪問控制
PAI:用于訪問PAI工作空間及PAI子產(chǎn)品。
細(xì)分場景
場景說明
操作引導(dǎo)鏈接
開通人工智能平臺PAI
建議您使用主賬號進(jìn)行開通操作。使用主賬號開通時(shí)無需額外授權(quán)操作。如果您希望使用RAM賬號開通PAI,您需要給RAM賬號授予AliyunPAIFullAccess權(quán)限。
給RAM用戶授權(quán):RAM角色登錄并使用PAI
PAI服務(wù)賬號授權(quán)
為阿里云賬號(主賬號)授權(quán)LangStudio通用權(quán)限
首次開通LangStudio時(shí),您需要為當(dāng)前阿里云賬號授權(quán)LangStudio通用權(quán)限,以確保LangStudio正常提供服務(wù)。具體操作步驟如下:
登錄PAI控制臺,在右側(cè)選擇目標(biāo)工作空間后,單擊進(jìn)入LangStudio。
授權(quán)AliyunPAILangStudioDefaultRole角色。
單擊開通。
在角色授權(quán)對話框,單擊去授權(quán)。
在云資源訪問授權(quán)頁面,單擊同意授權(quán)。
在云資源訪問授權(quán)頁面,系統(tǒng)自動(dòng)配置LangStudio需要的關(guān)聯(lián)角色,無需手動(dòng)配置。
參考1:如何修改LangStudio服務(wù)角色的授權(quán)策略
如果您需要對云資源訪問授權(quán)進(jìn)行更精細(xì)的管控,可以在RAM控制臺對已授權(quán)的AliyunPAILangStudioDefaultRole角色進(jìn)行自定義權(quán)限策略。
請確保您對RAM權(quán)限策略有充分的認(rèn)識,避免操作不當(dāng)引起LangStudio功能不可用。
下面以修改OSS的授權(quán)策略為例,說明如何對LangStudio默認(rèn)服務(wù)角色進(jìn)行更精細(xì)化的授權(quán),具體操作步驟如下。
OSS支持對Bucket打標(biāo)簽,您可以對授權(quán)LangStudio訪問的Bucket打上標(biāo)簽(Key-Value鍵值對),例如Key:Product, Value:PaiLangStudio。具體操作,請參見管理存儲空間標(biāo)簽。
查看AliyunPAILangStudioDefaultRole默認(rèn)權(quán)限策略。
登錄RAM控制臺,并在左側(cè)導(dǎo)航欄選擇 。
在角色頁面的搜索框中,輸入AliyunPAILangStudioDefaultRole進(jìn)行搜索,并單擊目標(biāo)角色名稱。
在權(quán)限管理頁面單擊權(quán)限策略名稱,查看并拷貝默認(rèn)策略內(nèi)容。
{ "Version": "1", "Statement": [ { "Action": [ "eas:CreateService", "eas:ListServices", "eas:DescribeService", "eas:DeleteService", "eas:UpdateService", "eas:StartService", "eas:StopService" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListObjects" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "paillmtrace:GetXtraceToken" ], "Resource": "*", "Effect": "Allow" } ] }
通過腳本編輯模式創(chuàng)建自定義權(quán)限策略,其中:
權(quán)限策略內(nèi)容可根據(jù)上述拷貝的默認(rèn)策略內(nèi)容進(jìn)行修改。例如修改OSS授權(quán)策略內(nèi)容,為通過Condition指定可訪問的OSS Bucket,示例內(nèi)容如下:
{ "Version": "1", "Statement": [ //其他授權(quán)策略,不要修改 //修改OSS授權(quán)策略,通過指定Tag限定授權(quán)訪問的OSS資源 { "Action": [ "oss:GetObject", "oss:PutObject", "oss:DeleteObject", "oss:ListObjects" ], "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "oss:BucketTag/Product": "PaiLangStudio" } } } ] }
名稱配置為CustomAliyunPAILangStudioDefaultRolePolicy。
將新創(chuàng)建的自定義權(quán)限策略CustomAliyunPAILangStudioDefaultRolePolicy添加到AliyunPAILangStudioDefaultRole角色,并解除該角色默認(rèn)的授權(quán)策略AliyunPAILangStudioDefaultRolePolicy。具體操作,請參見為RAM角色授權(quán)和為RAM角色移除權(quán)限。
更新成功后,LangStudio則會(huì)按照新增的授權(quán)策略訪問您的資源。
參考2:檢查賬號是否關(guān)聯(lián)AliyunPAILangStudioDefaultRole角色
您可以按照以下操作步驟,來確認(rèn)當(dāng)前阿里云賬號是否擁有AliyunPAILangStudioDefaultRole這一角色。
僅主賬號可以進(jìn)行授權(quán),RAM用戶無法授權(quán)。
登錄RAM控制臺,在左側(cè)導(dǎo)航欄,單擊身份管理>角色。
在角色頁面的搜索框中,輸入AliyunPAILangStudioDefaultRole,進(jìn)行搜索。
如果搜索到了該角色,則表示已經(jīng)授權(quán)了LangStudio服務(wù)角色。
如果沒有搜索到該角色,則需進(jìn)行授權(quán)操作。具體操作,請參見為阿里云賬號(主賬號)授權(quán)LangStudio通用權(quán)限。