模型调用、用量监控、费用账单——不同角色关注的信息并不相同。通过优刻得AstraFlow星图平台结合 IAM 自定义策略可以实现更细粒度的权限控制让不同用户看到与自己工作相关的信息。为什么越来越多企业关注费用权限管理在与企业客户和合作伙伴的沟通过程中我们经常收到类似需求“研发团队需要查看模型调用情况和 Token 消耗但不希望看到具体结算价格和账单信息。”“我们将星图能力开放给下游客户使用希望客户能够查看调用量和使用情况但费用信息只保留给管理人员查看。”随着越来越多企业将 AI 能力纳入日常业务流程如何在开放使用能力的同时做好费用信息管理逐渐成为权限体系中的一个重要课题。本文结合实际场景介绍星图平台如何实现更合理的费用可见性控制。场景一企业内部协作不少企业会通过星图平台统一接入大模型服务并通过主账号统一采购资源再向研发、产品、运营等团队分配使用权限。在这种模式下不同团队通常需要查看模型调用情况监控 Token 消耗管理自己的 API Key但与此同时部分费用相关信息往往只需要管理者或财务人员掌握例如模型结算价格商务折扣信息项目费用统计历史账单明细因此很多企业希望在保证正常使用的前提下对费用信息进行更细粒度的权限隔离。场景二渠道商服务终端客户另一类常见场景来自渠道合作伙伴。渠道商将星图模型能力集成到自身产品或解决方案中再向终端客户提供服务。为了方便管理部分合作伙伴会基于 UCloud 主子账号体系为不同客户分配独立账号。这种方式能够满足独立调用模型独立管理 API Key独立查看调用情况但对于渠道商而言终端客户通常只需要了解自己的使用情况而不需要接触平台侧的计费信息。因此很多合作伙伴希望实现保留调用量可见保留资源使用统计隐藏价格与账单信息从而让不同角色获得与自身职责相匹配的信息视图。为什么系统策略无法实现费用隔离要回答这个问题需要先了解星图平台的权限模型。UCloud IAM身份与访问管理目前支持系统策略和自定义策略两种方式。类型粒度适用场景系统策略按角色打包如星图只读访问开箱即用快速授权自定义策略精确到单个 API 的 Allow/Deny精细化权限定制系统策略的问题在于“查看用量和查看费用被捆绑在同一个只读能力里。 给子用户授予了星图只读访问”他能看模型、看用量同时也能看账单、看价格——这两件事在系统策略层面分不开。要拆开它们就需要借助 IAM 自定义策略进行更精细的权限控制实现真正意义上的“按需可见”。核心方案一条 Deny 策略精准封堵 20 个计费 APIUCloud IAM 自定义策略支持在 API 级别设置Effect: Deny。也就是说你可以精确地告诉系统这个子用户禁止调用以下任何计费相关 API。星图产品线uai_modelverse当前对外开放的 API 中与计费、账单、订单直接相关的共20 个分为三类订单类9 个ListPaidOrders、ListUnpaidOrders、ListPaidOrderSummary、ListUnpaidOrderSummary、GetOrderAmount、CompleteUnpaidOrder、DownloadListPaidOrders、DownloadListUnpaidOrders、DownloadOrderSummary账单类7 个ListPaidBills、ListUnpaidBills、ListTxPaidBills、DownloadBillSummary、DownloadListBills、DownloadListPaidBills、DownloadListUnpaidBills金额汇总类4 个GetMonthlyAmount、GetMonthlyPaidBill、GetCurrentMonthlyUnpaidBill、GetUserBillingByKey加上GetFilterOptions防止费用维度筛选器暴露全部写入一条 Deny 策略一次性封堵。将下方 JSON 复制到 IAM 自定义策略的脚本编辑器中即可{Version:1,Statement:[{Effect:Deny,Action:[uai_modelverse:CompleteUnpaidOrder,uai_modelverse:DownloadBillSummary,uai_modelverse:DownloadListBills,uai_modelverse:DownloadListPaidBills,uai_modelverse:DownloadListPaidOrders,uai_modelverse:DownloadListUnpaidBills,uai_modelverse:DownloadListUnpaidOrders,uai_modelverse:DownloadOrderSummary,uai_modelverse:GetCurrentMonthlyUnpaidBill,uai_modelverse:GetFilterOptions,uai_modelverse:GetMonthlyAmount,uai_modelverse:GetMonthlyPaidBill,uai_modelverse:GetOrderAmount,uai_modelverse:GetUserBillingByKey,uai_modelverse:ListPaidBills,uai_modelverse:ListPaidOrderSummary,uai_modelverse:ListPaidOrders,uai_modelverse:ListUnpaidBills,uai_modelverse:ListUnpaidOrderSummary,uai_modelverse:ListUnpaidOrders,uai_modelverse:ListTxPaidBills],Resource:[*]}]}绑定后的效果被限制的子用户模型照调、Key 照管、用量照看——唯独金额、折扣、账单、订单全部不可见。三步完成配置第一步创建策略登录 UCloud 控制台进入访问控制 → 策略管理 → 创建自定义策略。https://console.ucloud.cn/uaccount/iam/policy_manage/operate?typecreate配置项填写建议策略名称Deny-星图计费API-渠道客户 或 Deny-星图计费API-内部员工描述禁止子用户查看星图的所有计费、账单和订单信息策略级别选择 项目级可按项目维度灵活授权编辑方式切换到 脚本编辑 标签页粘贴上方 JSON点击确定第二步绑定子用户进入目标子用户详情页 →个人权限 → 添加权限搜索刚创建的策略名称选中添加到右侧生效范围选择“全部项目”确定。 直达https://console.ucloud.cn/uaccount/iam/user_manage/detail第三步验收效果用被限制的子账号登录星图访问费用中心。预期结果费用相关页面无法加载数据或提示无权限子用户仍可正常浏览模型广场、管理 API Key、查看 Token 消耗。配置效果一览能力配置前配置后浏览模型 / 调用模型✅✅管理 API Key✅✅查看 Token 消耗量✅✅查看费用明细 / 账单✅查看订单金额✅查看原价 / 折扣价✅下载账单 / 订单✅查看月度费用汇总✅该用的一个不少不该看的一个没有。两种组织方式按需取用企业内部渠道商谁绑策略研发、产品等一线同学每个终端客户的子账号谁不绑财务、管理层渠道商自身运营账号命名建议Deny-星图计费API-研发团队Deny-星图计费API-客户A 进阶技巧子用户数量多了以后建议创建用户组如渠道客户组将策略绑定到用户组。之后新建的客户子账号只需加入该组即可自动继承费用隐藏策略无需逐个配置。本文基于 UCloud AstraFlow 星图平台及 IAM 访问控制体系撰写。策略适用于当前版本更新以官方文档为准。
AstraFlow星图平台权限管理实践:实现费用信息按需可见
模型调用、用量监控、费用账单——不同角色关注的信息并不相同。通过优刻得AstraFlow星图平台结合 IAM 自定义策略可以实现更细粒度的权限控制让不同用户看到与自己工作相关的信息。为什么越来越多企业关注费用权限管理在与企业客户和合作伙伴的沟通过程中我们经常收到类似需求“研发团队需要查看模型调用情况和 Token 消耗但不希望看到具体结算价格和账单信息。”“我们将星图能力开放给下游客户使用希望客户能够查看调用量和使用情况但费用信息只保留给管理人员查看。”随着越来越多企业将 AI 能力纳入日常业务流程如何在开放使用能力的同时做好费用信息管理逐渐成为权限体系中的一个重要课题。本文结合实际场景介绍星图平台如何实现更合理的费用可见性控制。场景一企业内部协作不少企业会通过星图平台统一接入大模型服务并通过主账号统一采购资源再向研发、产品、运营等团队分配使用权限。在这种模式下不同团队通常需要查看模型调用情况监控 Token 消耗管理自己的 API Key但与此同时部分费用相关信息往往只需要管理者或财务人员掌握例如模型结算价格商务折扣信息项目费用统计历史账单明细因此很多企业希望在保证正常使用的前提下对费用信息进行更细粒度的权限隔离。场景二渠道商服务终端客户另一类常见场景来自渠道合作伙伴。渠道商将星图模型能力集成到自身产品或解决方案中再向终端客户提供服务。为了方便管理部分合作伙伴会基于 UCloud 主子账号体系为不同客户分配独立账号。这种方式能够满足独立调用模型独立管理 API Key独立查看调用情况但对于渠道商而言终端客户通常只需要了解自己的使用情况而不需要接触平台侧的计费信息。因此很多合作伙伴希望实现保留调用量可见保留资源使用统计隐藏价格与账单信息从而让不同角色获得与自身职责相匹配的信息视图。为什么系统策略无法实现费用隔离要回答这个问题需要先了解星图平台的权限模型。UCloud IAM身份与访问管理目前支持系统策略和自定义策略两种方式。类型粒度适用场景系统策略按角色打包如星图只读访问开箱即用快速授权自定义策略精确到单个 API 的 Allow/Deny精细化权限定制系统策略的问题在于“查看用量和查看费用被捆绑在同一个只读能力里。 给子用户授予了星图只读访问”他能看模型、看用量同时也能看账单、看价格——这两件事在系统策略层面分不开。要拆开它们就需要借助 IAM 自定义策略进行更精细的权限控制实现真正意义上的“按需可见”。核心方案一条 Deny 策略精准封堵 20 个计费 APIUCloud IAM 自定义策略支持在 API 级别设置Effect: Deny。也就是说你可以精确地告诉系统这个子用户禁止调用以下任何计费相关 API。星图产品线uai_modelverse当前对外开放的 API 中与计费、账单、订单直接相关的共20 个分为三类订单类9 个ListPaidOrders、ListUnpaidOrders、ListPaidOrderSummary、ListUnpaidOrderSummary、GetOrderAmount、CompleteUnpaidOrder、DownloadListPaidOrders、DownloadListUnpaidOrders、DownloadOrderSummary账单类7 个ListPaidBills、ListUnpaidBills、ListTxPaidBills、DownloadBillSummary、DownloadListBills、DownloadListPaidBills、DownloadListUnpaidBills金额汇总类4 个GetMonthlyAmount、GetMonthlyPaidBill、GetCurrentMonthlyUnpaidBill、GetUserBillingByKey加上GetFilterOptions防止费用维度筛选器暴露全部写入一条 Deny 策略一次性封堵。将下方 JSON 复制到 IAM 自定义策略的脚本编辑器中即可{Version:1,Statement:[{Effect:Deny,Action:[uai_modelverse:CompleteUnpaidOrder,uai_modelverse:DownloadBillSummary,uai_modelverse:DownloadListBills,uai_modelverse:DownloadListPaidBills,uai_modelverse:DownloadListPaidOrders,uai_modelverse:DownloadListUnpaidBills,uai_modelverse:DownloadListUnpaidOrders,uai_modelverse:DownloadOrderSummary,uai_modelverse:GetCurrentMonthlyUnpaidBill,uai_modelverse:GetFilterOptions,uai_modelverse:GetMonthlyAmount,uai_modelverse:GetMonthlyPaidBill,uai_modelverse:GetOrderAmount,uai_modelverse:GetUserBillingByKey,uai_modelverse:ListPaidBills,uai_modelverse:ListPaidOrderSummary,uai_modelverse:ListPaidOrders,uai_modelverse:ListUnpaidBills,uai_modelverse:ListUnpaidOrderSummary,uai_modelverse:ListUnpaidOrders,uai_modelverse:ListTxPaidBills],Resource:[*]}]}绑定后的效果被限制的子用户模型照调、Key 照管、用量照看——唯独金额、折扣、账单、订单全部不可见。三步完成配置第一步创建策略登录 UCloud 控制台进入访问控制 → 策略管理 → 创建自定义策略。https://console.ucloud.cn/uaccount/iam/policy_manage/operate?typecreate配置项填写建议策略名称Deny-星图计费API-渠道客户 或 Deny-星图计费API-内部员工描述禁止子用户查看星图的所有计费、账单和订单信息策略级别选择 项目级可按项目维度灵活授权编辑方式切换到 脚本编辑 标签页粘贴上方 JSON点击确定第二步绑定子用户进入目标子用户详情页 →个人权限 → 添加权限搜索刚创建的策略名称选中添加到右侧生效范围选择“全部项目”确定。 直达https://console.ucloud.cn/uaccount/iam/user_manage/detail第三步验收效果用被限制的子账号登录星图访问费用中心。预期结果费用相关页面无法加载数据或提示无权限子用户仍可正常浏览模型广场、管理 API Key、查看 Token 消耗。配置效果一览能力配置前配置后浏览模型 / 调用模型✅✅管理 API Key✅✅查看 Token 消耗量✅✅查看费用明细 / 账单✅查看订单金额✅查看原价 / 折扣价✅下载账单 / 订单✅查看月度费用汇总✅该用的一个不少不该看的一个没有。两种组织方式按需取用企业内部渠道商谁绑策略研发、产品等一线同学每个终端客户的子账号谁不绑财务、管理层渠道商自身运营账号命名建议Deny-星图计费API-研发团队Deny-星图计费API-客户A 进阶技巧子用户数量多了以后建议创建用户组如渠道客户组将策略绑定到用户组。之后新建的客户子账号只需加入该组即可自动继承费用隐藏策略无需逐个配置。本文基于 UCloud AstraFlow 星图平台及 IAM 访问控制体系撰写。策略适用于当前版本更新以官方文档为准。
