GenStudio 于 2025 年 5 月 推出 GenStudio 高级版/企业版升级服务,大幅提升 API 调用频率GenStudio 于 2025 年 5 月 推出 GenStudio 高级版/企业版升级服务,大幅提升 API 调用频率 ,依然保留免费基础服务了解计费
文档中心

Appearance

充值控制台

策略管理指南

本文档介绍策略审计、自定义权限创建、策略授权、策略克隆、等核心操作。

重要

授权核心机制:成功的授权需要同时配置权限策略(定义可执行的操作)和授权范围(定义可操作的资源)。缺少任何一个组件,权限都不会生效。核心概念请参考 身份与访问管理 - 授权机制

权限要求

默认仅超级管理员可创建、编辑、删除策略和管理策略授权。

快速开始

策略是权限管理系统中定义权限的核心组件。通过权限策略管理,您可以:

  • 权限审计:查看策略被哪些用户/用户组使用
  • 影响分析:修改策略前评估影响范围
  • 精准授权:从策略视角批量添加权限
  • 自定义权限:创建满足特定需求的策略

策略管理界面概览

策略管理列表

在策略管理页面查看:

  • 策略名称和类型(内置/自定义)
  • 策略描述和创建时间
  • 授权次数统计
  • 支持按名称搜索和类型筛选

策略类型

权限策略用于控制智算云平台功能的使用权限,分为内置系统策略自定义权限策略

内置系统策略

为简化权限配置,平台预置了部分权限策略。这些内置系统策略以「角色」命名,具有相应的功能/资源权限。内置策略不可删除,不可修改。

  • 超级管理员:拥有租户内所有操作权限,,包括用户管理、资源管理、账单管理等。租户下第一个用户默认为超级管理员。被授权为超级管理员的用户可对所有资源操作,无需额外配置「授权范围」

  • 一站式 AI 平台开发者:典型场景为允许用户账号在一站式 AI 平台(AIStudio)进行开发、部署。该类用户可自由使用开发机、推理服务、训练服务、镜像功能。该权限策略仅控制功能可用性。

  • 大模型服务平台开发者:典型场景为允许用户账号在大模型服务平台(GenStudio)使用开发类服务。该类用户具有大模型服务平台使用者的所有权限;另外可创建微调任务、上传自有模型资源、部署大语言模型服务、托管 ComfyUI 工作流。

  • 大模型服务平台使用者:典型场景为仅允许用户账号使用大模型服务平台(GenStudio)预置模型服务。该类用户可在 GenStudio 体验中心查看、筛选、使用平台预置模型;该类用户创建的 API Key 仅允许调用预置模型。

  • AI 容器服务开发者:典型场景为允许用户账号在 AI 容器服务(KubeStudio)进行开发、部署。该类用户可自由使用 AI 容器服务集群、AI 容器服务镜像、AI 容器服务任务。

自定义策略

当内置策略无法满足业务需求时,可创建自定义策略实现精细化权限控制。支持按服务配置操作权限(创建、删除、更新、查询),支持策略克隆和版本管理。

  • 根据业务需要创建的个性化权限组合
  • 支持精细化的权限控制
  • 可以克隆现有策略进行修改,生成自定义策略

提示

自定义策略配置建议开放所有「查询」类权限,避免页面显示异常。

创建自定义策略

  1. 登录智算云平台,访问策略管理页面,点击创建自定义策略

    策略管理

  2. 在创建策略时,您需要选择服务类型。每种服务类型都包含了可选的具体操作。以下列出了可选服务类型,具体请以控制台为准。

    • 一站式AI平台 (5个服务):推理服务、任务、镜像、开发机、任务组
    • 大模型服务平台 (6个服务):ComfyUI、模型服务、模型管理、微调服务、模型广场、用量统计
    • AI容器服务平台 (1个服务):AI容器服务
    • 基础设施服务 (9个服务):访问控制、AI容器服务、通知中心、资源管理、存储等

  3. 在选择服务类型后,您需要配置该策略允许的操作,可配置为允许全部指定操作

    • 全部表示允许所有该服务类型下包含的所有操作。例如,选择一站式AI平台-开发机,表示允许所有对一站式AI平台下开发机的增删改查操作。
    • 如果选择指定操作,一般按增删改查分类,例如「创建开发机」「查询开发机列表」等。

    注意

    以选择「一站式 AI 平台-开发机」的全部操作为例:

    • 该策略可授权用户执行「授权范围」内开发机的所有增删改查操作,例如创建、登录等。
    • 后续使用该策略授权用户时,可配置「授权范围」,例如指定资源池,限制用户仅在指定资源池中使用开发机。这也意味着该用户可登录同一授权范围内其他用户的开发机。

    如果需要在统一授权范围内隔离开发机的登录权限,需要单独配置两条自定义策略。

    1. 选择「一站式 AI 平台-开发机」服务,选择指定操作,仅配置「登录」操作。后续授权时,配置「授权范围」为我的
    2. 选择「一站式 AI 平台-开发机」服务,选择指定操作,配置除「登录」操作外的其他操作。后续授权时,配置「授权范围」为指定资源池

  4. 创建完成后,点击自定义策略名称,进入详情页。点击右侧添加权限为用户或用户组授权。

    重要

    策略 + 范围 = 有效权限:权限策略只定义可执行的操作(如创建开发机),不包含资源范围信息。只有在授权时配置授权范围(如指定资源池),权限才会生效。此处不再赘述授权配置细节,详见 授权配置指南

克隆策略

克隆策略是基于现有策略快速创建新策略的便捷方式。您可以克隆内置系统策略(超级管理员除外)或自定义策略。例如源策略为「一站式 AI 平台开发者」,您可以在克隆后创建一个移除了推理服务全部操作的权限策略。

  1. 选择源策略 → 点击克隆按钮
  2. 修改策略信息 → 更改名称和描述
  3. 调整权限配置 → 根据需要修改权限
  4. 保存新策略 → 确认配置并保存

查看策略详情

在策略列表页点击策略名称,进入策略详情页。可查看策略内容与授权记录。

策略详情 - 授权记录

查看策略内容

在策略详情页,切换到「策略内容」标签页,可查看当前策略的所允许的所有增删改查操作的集合。

查看策略授权记录

在策略详情页,切换到「授权记录」标签页,可查看策略的已授权用户和用户组。

在策略详情页面解除用户/用户组授权

在策略详情页的「授权记录」标签页,在右侧操作栏,点击解除授权,可在移除当前策略对用户/用户组的授权。

在策略详情页面授权用户/用户组

您可以在权限策略列表,或权限策略详情页的「授权记录」标签页,点击授权,可在用户/用户组列表中添加新的用户/用户组,并设置授权范围。

alt text

注意

选框置灰的用户/用户组表示曾被当前策略授权(界面不展示具体授权范围),无法在本次操作中变更。如需查询或变更,请移步用户/用户组详情页。

常见问题

自定义策略有数量限制吗?

无硬性限制,建议控制在 100 个以内。重点关注实际使用价值。

为什么我无法创建策略?

请检查:

  • 确认您有策略创建权限(通常是超级管理员)
  • 检查策略名称是否已存在
  • 确认策略配置是否正确

策略权限不生效怎么办?

排查步骤:

  1. 检查策略是否正确授权给用户或用户组
  2. 确认授权范围是否包含目标资源
  3. 验证策略配置是否正确

可以克隆系统内置策略吗?

可以。克隆后会创建新的自定义策略,可以修改权限配置,不会影响原始系统策略。

如何删除不再使用的策略?

删除前需要:

  • 确认策略没有被任何用户或用户组使用
  • 解除所有相关的授权关系
  • 只有自定义策略可以删除

如何快速判断是策略问题还是范围问题?

  1. 策略详情 → 授权记录:确认目标用户/组是否被授予。
  2. 若已授权 → 返回用户/组详情检查授权范围。
  3. 若未授权 → 在此页直接授权,并配置正确范围。

提示

更多用户管理操作请参考 用户管理指南,用户组管理请参考 用户组管理指南