Resource Access Management(RAM)ユーザーまたは RAM ロールとして Realtime Compute for Apache Flink コンソールにアクセスし、ワークスペースの購入、表示、削除などの操作を実行する場合、RAM ユーザーまたは RAM ロールは必要な権限を持っている必要があります。このトピックでは、Realtime Compute for Apache Flink でサポートされている RAM ポリシーの種類と、RAM ユーザーに権限を付与する方法について説明します。
ポリシーの種類
ポリシーは、ポリシーの構造と構文に基づいて記述される一連の権限を定義します。ポリシーを使用して、承認されたリソースセット、承認された操作セット、および承認条件を記述できます。ポリシーの要素、構造、および構文の詳細については、ポリシー要素 および ポリシーの構造と構文 をご参照ください。
RAM は、次の 2 種類のポリシーをサポートしています。
システムポリシー: システムポリシーは、Alibaba Cloud によって作成および更新されます。システムポリシーを使用できますが、ポリシーを変更することはできません。Realtime Compute for Apache Flink でサポートされているシステムポリシーの詳細については、このトピックの システムポリシー セクションをご参照ください。
カスタムポリシー: ビジネス要件に合わせて、カスタムポリシーを作成、更新、および削除できます。Realtime Compute for Apache Flink でサポートされているカスタムポリシーの詳細については、このトピックの カスタムポリシー セクションをご参照ください。
手順
RAM ユーザーまたは RAM ロールにポリシーをアタッチして、ポリシーのアクセス権限を RAM ユーザーまたは RAM ロールに付与できます。このセクションでは、RAM ユーザーに権限を付与する方法について説明します。RAM ロールに権限を付与する操作は、RAM ユーザーに権限を付与する操作と似ています。詳細については、RAM ロールへの権限の付与 をご参照ください。
RAM 管理者として RAM コンソール にログオンします。
左側のナビゲーションペインで、 を選択します。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、権限の追加[アクション] 列の をクリックします。
複数の RAM ユーザーを選択し、ページの下部にある [権限の追加] をクリックして、RAM ユーザーに一度に権限を付与することもできます。
[権限の付与] パネルで、RAM ユーザーに権限を付与します。
パラメーター
説明
リソーススコープ
付与された権限でアクセスできるリソースのスコープ。有効な値:
[アカウント]: 権限は現在の Alibaba Cloud アカウントに付与されます。
[リソースグループ]: 権限は特定のリソースグループに対して有効です。
プリンシパル
プリンシパルは、権限を付与する RAM ユーザーです。デフォルトでは、現在の RAM ユーザーがプリンシパルとして指定されています。別の RAM ユーザーを指定することもできます。
ポリシー
システムポリシー: Realtime Compute for Apache Flink でサポートされているシステムポリシーの詳細については、このトピックの システムポリシー セクションをご参照ください。
カスタムポリシー: カスタムポリシーの作成方法の詳細については、カスタムポリシーの作成 をご参照ください。Realtime Compute for Apache Flink でサポートされているカスタムポリシーの詳細については、このトピックの カスタムポリシー セクションをご参照ください。次のサンプルコードは、RAM ユーザーがすべてのワークスペースに関する情報を表示できるようにするポリシーのドキュメントを提供します。
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:DescribeVvpInstances", // 操作対象のリソース "Resource": "*", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
[権限の付与] をクリックします。
[閉じる] をクリックします。
システムポリシー
権限セット | ポリシー | 説明 |
Realtime Compute for Apache Flink のすべての権限 | AliyunStreamFullAccess | カスタムポリシー のすべての権限が含まれています。 |
読み取り専用モードで Realtime Compute for Apache Flink にアクセスするための権限 | AliyunStreamReadOnlyAccess | カスタムポリシー の Describe および Query で始まるすべての権限が含まれています。 |
費用とコストに関する権限 | AliyunBSSOrderAccess | 費用とコスト コンソールで注文を表示および支払うことができます。 |
カスタムポリシー
Realtime Compute for Apache Flink に関連するポリシー
ポリシーでは、Action は実行する必要のある操作を示し、Resource は操作を実行するオブジェクトを示し、Effect はオブジェクトに対する操作を許可するか拒否するかを指定します。RAM ポリシーの構文と構造の詳細については、ポリシーの構造と構文 をご参照ください。ポリシーの次のパラメーターを実際の値に置き換える必要があります。
{#regionId}: 管理する Realtime Compute for Apache Flink ワークスペースが存在するリージョンの ID。
{#accountId}: Alibaba Cloud アカウントの ID。
{#instanceId}: 管理する Realtime Compute for Apache Flink ワークスペースの ID。
{#namespace}: 名前空間の名前。
Realtime Compute for Apache Flink ワークスペースに関連するポリシー
権限
ポリシードキュメント
Realtime Compute for Apache Flink ワークスペースを購入する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:CreateVvpInstance", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
ワークスペースに関する情報を表示する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:DescribeVvpInstances", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
従量課金制ワークスペースをリリースする
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:DeleteVvpInstance", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
サブスクリプション ワークスペースを更新する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:RenewVvpInstance", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
サブスクリプション ワークスペースをスケーリングする
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:ModifyVvpPrepayInstanceSpec", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
従量課金制ワークスペースの最大クォータを変更する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:ModifyVvpInstanceSpec", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
ワークスペースの課金方法を変更する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:ConvertVvpInstance", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
ワークスペース作成の価格を問い合わせる
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:QueryCreateVvpInstance", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
ワークスペース更新の価格を問い合わせる
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:QueryRenewVvpInstance", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
ワークスペーススケーリングの価格を問い合わせる
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:QueryModifyVvpPrepayInstanceSpec", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
従量課金制からサブスクリプション課金方法への切り替えの価格を問い合わせる
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:QueryConvertVvpInstance", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
Realtime Compute for Apache Flink 名前空間に関連するポリシー
重要名前空間の権限を設定する前に、DescribeVvpInstances 権限を設定して既存のワークスペースを表示する必要があります。そうでない場合、エラーが返されます。
権限
ポリシードキュメント
名前空間を作成する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:CreateVvpNamespace", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
名前空間を削除する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:DeleteVvpNamespace", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
サブスクリプション名前空間のリソースを変更する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:ModifyVvpPrepayNamespaceSpec", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
従量課金制名前空間のリソースを変更する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:ModifyVvpNamespaceSpec", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
名前空間リストを表示する
{ "Version": "1", "Statement": [ { // 許可する操作 "Action": "stream:DescribeVvpNamespaces", // 操作対象のリソース "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*", // ポリシーの効果。許可または拒否を指定します。 "Effect": "Allow" } ] }
説明ポリシーを設定した後、特定のワークスペースの ID の左側にある
アイコンをクリックして、ワークスペースに作成された名前空間のリストを表示できます。特定の Realtime Compute for Apache Flink 名前空間の開発コンソールにログオンするには、名前空間でドラフトを開発するための権限が必要です。詳細については、名前空間権限の付与 をご参照ください。
関連サービスに対する権限操作
ECS関連の操作
OSS 関連の操作
ARMS 関連の操作
VPC関連の操作
RAM関連の操作
DLF関連の操作
リファレンス
Alibaba Cloudアカウント、RAMロール、RAMユーザーなど、さまざまなIDを使用してRealtime Compute for Apache Flinkコンソールにアクセスする方法の詳細については、サポートされているログオン方法をご参照ください。
複数のユーザーがRealtime Compute for Apache Flink名前空間を使用して、Realtime Compute for Apache Flinkの開発コンソールでドラフト開発やデプロイO&Mなどの操作を実行できるようにするには、名前空間に対する権限をユーザーに付与する必要があります。詳細については、名前空間権限の付与をご参照ください。
RAMユーザーに付与される権限と名前空間の権限の違いの詳細については、権限管理をご参照ください。
RAM権限管理に関連するAPI操作の詳細については、権限管理をご参照ください。
Realtime Compute for Apache Flinkコンソールにログオンするときに、アカウントに必要な権限がない場合はどうすればよいですか?