GenStudio 于 2025 年 5 月 推出 GenStudio 高级版/企业版升级服务,大幅提升 API 调用频率GenStudio 于 2025 年 5 月 推出 GenStudio 高级版/企业版升级服务,大幅提升 API 调用频率 ,依然保留免费基础服务了解计费
Skip to content

身份与访问管理

权限管理系统为管理员提供全局的用户权限视角,支持通过用户组进行批量操作和自动化管理。同时,系统还支持通过「授权范围」提供对资源的精细化控制。管理员可以根据项目需要灵活调整权限策略,配置不同的操作权限和授权范围组合,优化资源使用和成本管理。

本章节将帮助新管理员快速理解和使用身份与访问管理系统,涵盖用户账户管理、基于策略的权限管理和授权系统。

提示

快速上手:阅读核心概念 → 查看团队配置示例 → 参考专题指南深入学习

控制台入口

点击下方直接进入访问控制页面。或访问智算云控制台,通过用户头像下拉菜单进入访问控制。访问控制页面包含身份管理(用户/用户组)、权限策略、SSH 公钥管理、API Key 管理。

核心概念

在开始具体操作之前,理解以下核心概念将帮助您更好地使用权限管理系统。这些概念是所有操作的基础。

用户账户

用户账户是系统的基本构建块,每个用户账户包含以下属性:

  • 基本信息:用户名称、手机号、描述
  • 登录凭证:登录账号、安全手机、密码
  • 权限配置:直接被授予的权限,或者通过加入用户组继承的权限;此处均权限指「权限策略+授权范围」组合
  • 资源关联:用户创建和管理的各类资源
  • API Key:用于程序化访问的密钥

用户组

用户组是管理多个用户权限的有效方式,可以映射组织架构,简化权限管理:

  • 用户组:将具有相似职责的用户归为一组,统一管理权限
  • 继承机制:用户会自动继承所加入用户组的所有权限
  • 动态管理:用户加入或退出用户组时,权限会自动更新
  • 权限叠加:用户的最终权限是直接授权和用户组权限的并集

权限策略

权限策略用于控制智算云平台功能的使用权限,分为内置系统策略自定义权限策略。为简化权限配置,平台预置了部分权限策略。这些内置系统策略以「角色」命名,定义了一组增删改查操作集合。内置策略不可删除,不可修改。

注意

权限策略策略仅控制功能可用性,不涉及资源使用权限。使用权限策略对用户或用户组授权时,需要同时配置授权范围。用户可操作的资源由授权范围决定。

内置系统策略

权限策略用于控制智算云平台功能的使用权限,分为内置系统策略自定义权限策略。为简化权限配置,平台预置了部分权限策略。这些内置系统策略以「角色」命名,具有相应的功能/资源权限。内置策略不可删除,不可修改。

  • 超级管理员:超级管理员拥有租户下所有资源和功能权限,包括用户管理、资源管理、账单管理等。租户下第一个用户默认为超级管理员。

  • 一站式 AI 平台开发者:典型场景为允许用户账号在一站式 AI 平台(AIStudio)进行开发、部署。该类用户可自由使用开发机、推理服务、训练服务、镜像功能。该权限策略仅控制功能可用性。

  • 大模型服务平台开发者:典型场景为允许用户账号在大模型服务平台(GenStudio)使用开发类服务。该类用户具有大模型服务平台使用者的所有权限;另外可创建微调任务、上传自有模型资源、部署大语言模型服务、托管 ComfyUI 工作流。

  • 大模型服务平台使用者:典型场景为仅允许用户账号使用大模型服务平台(GenStudio)预置模型服务。该类用户可在 GenStudio 体验中心查看、筛选、使用平台预置模型;该类用户创建的 API Key 仅允许调用预置模型。

  • AI 容器服务开发者:典型场景为允许用户账号在 AI 容器服务(KubeStudio)进行开发、部署。该类用户可自由使用 AI 容器服务集群、AI 容器服务镜像、AI 容器服务任务。

自定义策略

当内置策略无法满足业务需求时,可创建自定义策略实现精细化权限控制。支持按服务配置操作权限(创建、删除、更新、查询),支持策略克隆和版本管理。

  • 根据业务需要创建的个性化权限组合
  • 支持精细化的权限控制
  • 可以克隆现有策略进行修改,生成自定义策略

提示

自定义策略配置建议开放所有「查询」类权限,避免页面显示异常。详细创建步骤请参考 策略管理指南

授权范围

授权范围决定了权限策略的生效范围,支持以下范围类型:

授权范围说明适用场景权限范围
我的用户只能管理自己创建的资源,无法操作其他资源个人资源管理最小权限范围
指定资源池用户可以在指定的资源池中执行授权策略中定义的操作部门或项目资源管理中等权限范围
指定资源用户可以针对特定的资源(例如某台开发机的ID)执行授权策略中定义的操作精确的资源权限控制精确权限范围
租户下所有用户拥有授权策略中定义的全部操作权限,对租户下的所有资源无任何限制管理员或高级用户最大权限范围
可用区限制在特定可用区的存储资源存储服务的地域限制地域限制范围

信息

速查:常见"策略 + 范围" 组合

角色/策略推荐范围典型用例
AIStudio-开发者指定资源池项目开发者只能操作所属资源池
GenStudio-使用者我的 / 租户下所有调用预置模型;平台体验账号
Storage-开发者我的个人数据卷管理

提示:若需重复使用"策略+范围"组合,可创建用户组并授权对应策略+范围,再把用户加入该组。

授权机制:策略 + 范围 = 有效权限

理解授权机制是权限管理的核心概念。成功的授权需要同时具备「权限策略」和「授权范围」两个要素

授权的两个必要组件

  • 权限策略(Policy):定义用户可以执行什么操作

    • 例如:创建开发机、查看推理服务、删除任务等
    • 这些操作权限在策略中被明确定义
  • 授权范围(Scope):定义用户可以在哪些资源上执行操作

    • 例如:我的资源、指定资源池、租户下所有资源等
    • 授权范围限制了策略权限的生效边界

理解授权机制

  • 策略本身不包含范围信息:策略只定义操作类型,不限制资源范围(例外,超级管理员策略默认包含所有「租户下所有」范围)
  • 范围在授权时确定:每次授权都需要单独配置范围(可先授权用户组,再通过批量授权简化授权操作)
  • 同一策略可配置不同范围:可以给不同用户授权相同策略但配置不同范围,例如,使用「一站式 AI 平台开发者」策略为 A、B 用户,但为 A 配置指定资源池「江苏 A」,为 B 配置「租户下所有」
  • 权限叠加原则:用户的最终权限是所有授权的并集

重要

缺少权限策略或授权范围中的任何一个,授权都不会生效。这是权限管理系统中最容易混淆的概念,也是排查权限问题的关键要点。

授权过程

当管理员为用户/用户组授权时:

选择策略 (可执行的操作) + 配置范围 (可操作的资源) = 最终有效权限

授权机制可视化

示例说明

  • 策略:「一站式 AI 平台开发者」(包含创建/查看/删除开发机等操作)
  • 范围:「指定资源池:项目A专用池」
  • 结果:用户可以在项目A专用池中创建/查看/删除开发机,但无法操作其他资源池的开发机

权限验证机制

基于上述授权机制,系统按以下流程评估用户权限:

  1. 策略收集:收集用户直接授权的策略和通过用户组继承的策略
  2. 权限合并:将所有策略的权限进行合并
  3. 范围检查:根据授权范围判断是否可以操作目标资源
  4. 最终决策:允许或拒绝用户的操作请求

操作路径

智算云平台的权限配置用户界面提供了多入口多操作路径。您可以根据组织管理需求和场景选择合适的管理入口:

常见问题

系统有多个地方可以进行授权,我应该在哪里操作?

不同入口适合不同场景:用户管理适合个人权限配置,用户组管理适合批量角色权限,策略管理适合权限审计。建议新手从用户视角开始。

用户无法访问某个资源,如何排查?

按以下顺序检查(基于策略+范围授权机制):

  1. 检查策略权限:用户是否有对应策略权限(直接授权或用户组继承)
  2. 检查授权范围:策略的授权范围是否包含目标资源
  3. 验证权限组合:确认策略中包含所需操作,且授权范围覆盖目标资源

提示

记住:策略定义操作,范围限制资源。两者缺一不可。

AIStudio 开发机的远程 SSH 登录是否需要额外授权?

开发机的远程 SSH 登录不受权限系统保护。请注意保护开发机的 SSH 密码或密钥,避免泄漏。

AIStudio 推理服务的外网访问 API 鉴权是否需要额外授权?

AIStudio 推理服务的外网访问不受权限系统保护。统一租户下的 API Key 均可鉴权成功。

为什么包年包月资源池下拉列表中没有任何资源池?

请联系超级管理员,检查您账号的对应权限策略(例如「一站式 AI 平台开发者」)的授权范围是否为「指定资源池」或「租户下所有」。

超级管理员权限无法删除怎么办?

系统至少需要保留一个超级管理员。请先创建其他超级管理员后再删除现有的。