选择内置系统策略
内置系统策略是平台预置的常见权限组合。为用户或用户组授权前,先确认成员要使用哪个产品服务,再选择对应的内置策略和授权范围。
先按产品服务选择策略
不要用一个产品服务的内置策略替代另一个产品服务的权限。内置策略只覆盖它所属服务的能力。
为大模型服务平台选择内置策略
当成员需要使用预置模型、微调、模型服务或模型管理时,先查看配置大模型服务平台权限。如果只想开放其中部分操作,再改用自定义策略。
授权时同时配置策略和范围
选择内置系统策略后,还必须为本次授权选择范围。策略决定用户能做什么,范围决定这些操作能作用到哪些资源。
- 选择用户或用户组。
- 选择目标产品服务的内置系统策略。
- 展开策略,选择本次授权范围。
- 保存后,在用户详情页确认策略来源和范围。
如果同一个用户既有直接授权,又继承了用户组权限,最终权限按并集计算。收紧权限时,请同时检查所有允许路径。
内置策略不合适时改用自定义策略
内置系统策略不可修改。出现以下情况时,不要继续扩大内置策略范围,请改为管理自定义策略:
- 团队只需要某个产品服务中的部分操作。
- 团队只想开放查看能力,不想开放创建、更新或删除能力。
- 团队需要把一个临时排障权限和长期岗位权限分开审计。
- 内置策略的授权范围无法表达当前团队边界。
常见问题
以下问题用于避免把不同产品服务的内置策略混用。授权前,请先确认成员实际要使用的产品服务。
找不到某个产品的内置策略时,可以用其他产品策略代替吗?
不可以。内置系统策略只覆盖所属产品服务的能力。请不要用 AIStudio、大模型服务平台或 AI 容器服务平台的策略互相替代。
内置系统策略可以修改吗?
不可以。内置系统策略由平台维护,不能删除或修改。如果操作集合过宽或过窄,请创建自定义策略。
内置策略和自定义策略应该怎么选?
常见岗位权限优先使用内置系统策略。只想开放部分操作、需要更细审计边界,或内置策略范围无法表达团队边界时,改用自定义策略。
例如,成员需要完整管理项目 A 的 AIStudio 负载时,可以使用对应内置策略并把范围限制在项目 A 的资源池;如果成员只允许查看任务、不允许创建或删除任务,即使范围可以选到项目 A,也应改用只包含查看操作的自定义策略。