當希望多個使用者能夠共同使用Flink下的某專案空間,在Flink開發控制台進行作業開發、營運等相關操作時,需要通過新增成員並為成員綁定角色的方式完成專案空間授權。同時,為了提供更加靈活和安全的許可權管理機制,支援根據實際業務需要添加自訂角色,以滿足不同許可權的需要。本文為您介紹如何添加角色、新增成員並為成員綁定不同角色。
許可權問題指引
成員管理
新增成員
具有建立成員許可權(例如owner)的成員登入Flink開發控制台。
在頁面頂部,選擇目標專案空間名稱。
單擊左側導覽列的
,單擊成員管理頁簽。單擊新增成員,新增成員並為成員選擇角色。
選擇RAM帳號:顯示本專案空間對應阿里雲帳號下已建立的RAM使用者和RAM角色,支援批量選擇進行授權。
手動添加帳號:您可以手動輸入其他的阿里雲帳號ID、RAM使用者ID、RAM角色ID,進行授權。
說明ID的查看方法請參見查看帳號ID、 RAM使用者ID和RAM角色ID。
角色:支援選擇系統角色和自訂角色。您可以在角色管理頁簽,單擊目標角色操作列下的查看許可權,查看對應角色擁有的許可權。
單擊確定。
授權後的成員,即可通過目標專案空間URL進入Flink開發控制台,使用控制台相關功能。
說明如果該成員已經登入了Flink開發控制台,被授權後重新整理頁面即可進入目標專案空間。
編輯和刪除成員
編輯成員
具有編輯成員許可權的成員可以單擊目標成員操作列下的編輯,更改成員綁定的角色(包括內建角色和自訂角色)。您可以參見查看角色許可權和成員查看已有的自訂角色的許可權,以進行正確授權。
刪除成員
具有刪除成員許可權的成員可以單擊目標成員操作列下的刪除,刪除成員。刪除後,該成員將無法訪問所屬專案空間。
角色管理
角色類型及許可權列表
Flink角色包括系統角色和自訂角色兩種類型:
系統角色:Flink系統內建角色,具有owner、editor、viewer三種角色。不支援修改角色的許可權以及刪除角色。
自訂角色:僅owner角色和具有角色管理相關許可權的角色可以建立、編輯、刪除自訂角色的許可權,自訂角色許可權需大於viewer所具有的許可權。單個專案空間下最多支援建立10個自訂角色。
如果需要授予成員下列許可權列表之外的許可權點(例如如中繼資料管理、SQL開發中的UDF管理等),需要將成員賦予editor或owner角色。
不同角色的許可權差異如下表所示。
一級許可權 | 二級許可權 | owner | editor | viewer | 自訂角色許可權依賴說明 |
ETL(SQL開發) | 查看SQL作業草稿列表 | √ | √ | √ | 無 |
開發SQL作業草稿(建立、編輯) | √ | √ | 預設具有查看SQL作業草稿列表許可權 | ||
調試SQL作業草稿 | √ | √ | 預設具有開發SQL作業草稿許可權、查看Session叢集許可權 | ||
深度檢查SQL作業草稿 | √ | √ | 預設具有調試SQL作業草稿許可權 | ||
刪除SQL作業草稿 | √ | √ | 預設具有查看SQL作業草稿列表許可權 | ||
部署SQL作業草稿 | √ | √ | 預設具有深度檢查SQL作業草稿許可權 | ||
查看UDF JAR列表 | √ | √ | √ | 無 | |
作業營運 | 查看營運部署作業列表 | √ | √ | √ | 無 |
建立JAR、PYTHON部署作業 | √ | √ | 預設具有查看營運部署作業列表、查看資源清單許可權 | ||
更新營運部署作業配置 | √ | √ | 預設具有查看營運部署作業列表許可權 | ||
刪除營運部署作業 | √ | √ | 預設具有查看營運部署作業列表許可權 | ||
啟動/停止工作執行個體 | √ | √ | 預設具有查看營運部署作業列表許可權 | ||
檔案管理 | 查看資源清單 | √ | √ | √ | 預設具有查看營運部署作業列表許可權 |
上傳資源 | √ | √ | 預設具有查看資源清單許可權 | ||
刪除資源 | √ | √ | 預設具有查看資源清單許可權 | ||
下載資源 | √ | √ | 預設具有查看資源清單許可權 | ||
Session管理 | 刪除Session叢集 | √ | √ | 預設具有查看Session叢集許可權 | |
查看Session叢集 | √ | √ | √ | 無 | |
建立Session叢集 | √ | √ | 預設具有查看Session叢集許可權 | ||
更新Session叢集配置 | √ | √ | 預設具有查看Session叢集許可權 | ||
啟動/停止Session叢集 | √ | √ | 預設具有查看Session叢集許可權 | ||
資訊安全中心 | 查看成員列表 | √ | √ | √ | 無 |
建立成員 | √ | 預設具有查看成員列表許可權 | |||
編輯成員 | √ | 預設具有查看成員列表許可權 | |||
刪除成員 | √ | 預設具有查看成員列表許可權 | |||
查看角色列表 | √ | √ | √ | 無 | |
建立角色 | √ | 預設具有查看角色列表許可權 | |||
編輯角色 | √ | 預設具有查看角色列表許可權 | |||
刪除角色 | √ | 預設具有查看角色列表許可權 | |||
查看變數列表 | √ | √ | √ | 無 | |
建立變數 | √ | √ | 預設具有查看變數列表許可權 | ||
刪除變數 | √ | √ | 預設具有查看變數列表許可權 | ||
組態管理 | 查看工作範本 | √ | √ | √ | 無 |
編輯工作範本 | √ | √ | 預設具有查看工作範本許可權 |
添加自訂角色
具有owner角色的成員或具有角色系統管理權限的成員登入Realtime Compute開發控制台。
在頁面頂部,選擇目標專案空間名稱。
單擊左側導覽列的
,單擊角色管理頁簽。單擊添加角色,填寫相關資訊。
參數
說明
角色名稱
自訂角色名稱。字母開頭,僅支援數字、字母和虛線(-),不超過64個字元。
角色備忘
用於角色的資訊補充或說明,協助管理員或其他成員理解角色的用途、許可權範圍等。不超過256個字元。
角色許可權
支援在viewer或editor角色許可權基礎上快速增加許可權,自訂許可權需大於viewer所具有的許可權。
為了確保許可權的完整性,部分許可權點包含其他必要的依賴許可權點,系統將自動為您預設勾選,具體許可權依賴請參見上方許可權列表。
單擊確定,即可看到添加的角色。
查看、編輯和刪除角色
查看角色許可權和成員
所有成員可以單擊目標角色操作列下的查看許可權查看該角色擁有的許可權,單擊查看成員可以查看所有已綁定該角色的成員。
編輯角色許可權
系統角色:不支援修改角色許可權。
自訂角色:具有編輯角色許可權的成員可以單擊目標角色操作列下的編輯許可權,根據需要添加或移除許可權。
刪除角色
系統角色:不支援刪除。
自訂角色:刪除自訂角色前,考慮安全風險您需要將該角色下所有綁定的成員刪除或更改為其他角色(需要具有成員管理相關許可權,具體操作請參見編輯和刪除成員)。該角色無綁定成員後,具有刪除角色許可權的成員可以單擊目標角色操作列下的刪除以刪除角色。
查看帳號ID、 RAM使用者ID和RAM角色ID
主帳號ID:單擊控制台頁面右上方的頭像,在帳號中心的安全設定頁面即可查看帳號ID。
RAM使用者ID(UID):具體請參見查看RAM使用者資訊。
RAM角色ID:具體請參見查看RAM角色。