通過RAM使用者或者RAM角色等方式訪問Realtime Compute控制台,並進行購買、查看或者刪除工作空間等操作時,需要擁有相應的許可權。本文為您介紹Flink支援的權限原則類型、以及如何進行RAM授權。
權限原則類型
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範,請參見權限原則基本元素和權限原則文法和結構。
RAM支援以下兩種權限原則:
RAM授權操作
通過為RAM使用者或RAM角色綁定權限原則,可以獲得權限原則中指定的存取權限。本文為您介紹如何為RAM使用者授權。RAM角色授權操作類似,詳情請參見為RAM角色授權。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者,單擊使用者列表下方的添加許可權,為RAM使用者大量授權。
在新增授權面板,為RAM使用者添加許可權。
參數
說明
資源範圍
選擇所需的應用範圍:
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
授權主體
被授權主體,即需要授權的RAM使用者,系統會自動填入當前的RAM使用者,您也可以添加其他RAM使用者。
權限原則
單擊確認新增授權。
單擊關閉。
系統權限原則
權限原則 | 名稱 | 說明 |
Realtime Compute(Stream)服務所有許可權 | AliyunStreamFullAccess | 包括自訂權限原則中所有的許可權。 |
唯讀訪問Realtime Compute(Stream)服務 | AliyunStreamReadOnlyAccess | 包含自訂權限原則中所有以Describe和Query開頭的許可權。 |
費用中心(BSS)的許可權 | AliyunBSSOrderAccess | 在費用中心(BSS)查看訂單、支付訂單的許可權。 |
自訂權限原則
Realtime ComputeFlink版權限原則
權限原則中Action表示要執行的操作,Resource表示要操作的對象,Effect表示授權效果是允許還是禁止。權限原則文法和結構的詳情請參見權限原則文法和結構。您需要將策略內容中的以下參數替換為您的實際值。需要替換的參數如下:
{#regionId}:目標Flink工作空間所在的地區。
{#accountId}:阿里雲帳號的uid。
{#instanceId}:目標Realtime ComputeFlink版訂單一實例ID。
{#namespace}:目標專案空間的名稱。
Flink工作空間
許可權
策略內容
新購Realtime ComputeFlink版
{ "Version": "1", "Statement": [ { "Action": "stream:CreateVvpInstance", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*", "Effect": "Allow" } ] }
查看工作空間
{ "Version": "1", "Statement": [ { "Action": "stream:DescribeVvpInstances", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*", "Effect": "Allow" } ] }
釋放隨用隨付工作空間
{ "Version": "1", "Statement": [ { "Action": "stream:DeleteVvpInstance", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}", "Effect": "Allow" } ] }
工作空間續約(訂用帳戶)
{ "Version": "1", "Statement": [ { "Action": "stream:RenewVvpInstance", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", "Effect": "Allow" } ] }
訂用帳戶工作空間擴縮容
{ "Version": "1", "Statement": [ { "Action": "stream:ModifyVvpPrepayInstanceSpec", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}", "Effect": "Allow" } ] }
隨用隨付工作空間配額上限調整
{ "Version": "1", "Statement": [ { "Action": "stream:ModifyVvpInstanceSpec", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}", "Effect": "Allow" } ] }
變更工作空間付費模式
{ "Version": "1", "Statement": [ { "Action": "stream:ConvertVvpInstance", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", "Effect": "Allow" } ] }
查詢工作空間建立價格
{ "Version": "1", "Statement": [ { "Action": "stream:QueryCreateVvpInstance", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*", "Effect": "Allow" } ] }
查詢工作空間續約價格
{ "Version": "1", "Statement": [ { "Action": "stream:QueryRenewVvpInstance", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", "Effect": "Allow" } ] }
查詢工作空間擴縮容價格
{ "Version": "1", "Statement": [ { "Action": "stream:QueryModifyVvpPrepayInstanceSpec", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", "Effect": "Allow" } ] }
查詢隨用隨付轉訂用帳戶價格
{ "Version": "1", "Statement": [ { "Action": "stream:QueryConvertVvpInstance", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}", "Effect": "Allow" } ] }
Flink專案空間
重要在設定項目空間許可權資訊前,您需要先配置查看已建立的工作空間(DescribeVvpInstances)的許可權,否則會報缺少許可權的錯誤。
許可權
策略內容
建立專案空間
{ "Version": "1", "Statement": [ { "Action": "stream:CreateVvpNamespace", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*", "Effect": "Allow" } ] }
刪除專案空間
{ "Version": "1", "Statement": [ { "Action": "stream:DeleteVvpNamespace", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", "Effect": "Allow" } ] }
訂用帳戶專案空間資源變更
{ "Version": "1", "Statement": [ { "Action": "stream:ModifyVvpPrepayNamespaceSpec", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", "Effect": "Allow" } ] }
隨用隨付專案空間資源變更
{ "Version": "1", "Statement": [ { "Action": "stream:ModifyVvpNamespaceSpec", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", "Effect": "Allow" } ] }
查看專案空間列表
{ "Version": "1", "Statement": [ { "Action": "stream:DescribeVvpNamespaces", "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*", "Effect": "Allow" } ] }
說明配置該策略後,單擊目標工作空間ID左側的表徵圖,您就能查看該工作空間下建立的專案空間列表資訊。如果您還需要進入到目標專案空間開發控制台,還需要被授權對應專案空間的作業開發許可權,詳情請參見專案空間授權。