本文為您介紹授權操作前需要瞭解的關鍵資訊,包括授權情境、許可權模型、控制台功能區別、授權流程以及基於登入方式的授權說明。
注意事項
在首次開通Realtime ComputeFlink版時,開通頁面會提示您完成自動化授權(跳轉至RAM,並在雲資源訪問授權頁面單擊同意授權)。完成授權後,您的阿里雲帳號將獲得訪問Realtime Compute管理主控台和Realtime Compute開發控制台的許可權,同時具備調用相關雲產品資源的許可權。
如果您需要與其他使用者共用某工作空間,並為他們分配細粒度的許可權,可參考本文檔中的指引,為其他使用者進行授權配置。
授權總指引
授權情境
情境 | 說明 | 授權策略 | 授權方法 |
管理操作 | 如果使用者需要執行購買工作空間、購買資源或調整資源配置等管理類操作,則使用者需登入Realtime Compute管理控制台。 |
| |
開發與營運操作 | 如果使用者需要進行作業開發、作業調試或其他營運等操作,則使用者需登入Realtime Compute開發控制台。 |
|
許可權模型
Realtime Compute管理主控台
Realtime Compute管理主控台的許可權是由雲帳號在RAM存取控制台上為RAM使用者或RAM身份等添加權限原則進行管理,該策略的可授權範圍是雲帳號內的所有資源,包括Realtime ComputeFlink版及相關產品等相關許可權。
Realtime Compute開發控制台
Realtime Compute開發控制台的許可權由雲帳號在Realtime Compute開發控制台上通過為RAM使用者或其他阿里雲帳號添加角色進行管理,該角色的可授權範圍涵蓋Realtime Compute開發控制台的一級和二級功能的所有許可權。
控制台介紹
在登入和授權前您需要瞭解您要授權的對象。Realtime Compute控制台分為Realtime Compute管理主控台和Realtime Compute開發控制台,二者的介面和作用區別如下表。
控制台名稱 | 介面 | 作用 |
Realtime Compute管理主控台 |
| 查看工作空間,進行工作空間的購買、資源調整、工作空間釋放、專案空間複製、OSS Bucket切換全託管儲存等操作。 |
Realtime Compute開發控制台 |
| 在目標專案空間下,進行作業開發、營運、專案空間授權等操作。 |
授權流程
在進行授權前,管理員(即購買工作空間的阿里雲主帳號或具有相應許可權的其他使用者)需根據實際授權情境,明確授權主體所需登入的控制台,並確定是授予系統權限原則/角色,還是建立並分配自訂權限原則/角色。最後,按照對應控制台具體授權方法完成授權操作。
按登入方式授權
阿里雲帳號登入
購買該工作空間的阿里雲帳號,預設具有該Realtime Compute管理主控台和Realtime Compute開發控制台的所有許可權,無需單獨進行授權。當其他阿里雲帳號要訪問Realtime Compute控制台時,您可以按照如下指引進行授權。
登入方式 | 登入對象 | 授權說明 |
主帳號 | Realtime Compute管理主控台 | 其他阿里雲帳號無法經過授權訪問Realtime Compute管理主控台。 |
Realtime Compute開發控制台 |
|
阿里雲RAM使用者登入
登入方式 | 登入對象 | 授權說明 |
RAM使用者 | Realtime Compute管理主控台 |
|
Realtime Compute開發控制台 |
|
阿里雲RAM角色登入
通過RAM角色登入時,需要對應的RAM使用者具有AliyunSTSAssumeRoleAccess許可權,即允許RAM使用者扮演RAM角色。
登入方式 | 登入對象 | 授權說明 |
RAM使用者扮演某主帳號的某角色登入 | Realtime Compute管理主控台 |
|
Realtime Compute開發控制台 |
|
例如,無論是主帳號A下的RAM使用者flinktestA扮演主帳號A的某個角色登入,還是主帳號B下的RAM使用者flinktestB扮演主帳號A的同一個角色登入,其授權的主體本質上是相同的。
資來源目錄成員登入
登入方式 | 登入對象 | 授權說明 |
通過根使用者(阿里雲帳號)登入 | Realtime Compute管理主控台 | 無需單獨授權。 |
Realtime Compute開發控制台 |
| |
管理帳號的RAM使用者扮演成員RAM角色的方式登入 | Realtime Compute管理主控台 | 通常無需單獨授權。 |
Realtime Compute開發控制台 |
| |
通過成員的RAM使用者登入 | Realtime Compute管理主控台 |
|
Realtime Compute開發控制台 |
| |
雲SSO使用者通過RAM角色登入 | Realtime Compute管理主控台 |
|
Realtime Compute開發控制台 |
| |
雲SSO使用者通過RAM使用者登入 | Realtime Compute管理主控台 |
|
Realtime Compute開發控制台 |
|
授權基本概念
帳號類型
帳號類型 | 說明 |
阿里雲帳號(主帳號) | 阿里雲帳號(主帳號)是阿里雲資源的歸屬及使用計量計費的基本主體,將作為阿里雲系統用於識別資源消費的帳號,擁有所購買產品的所有許可權。 |
阿里雲RAM使用者 | RAM使用者是RAM中的一種實體身份,代表需要訪問阿里雲的人員或應用程式。建立RAM使用者並授權後,RAM使用者就可以訪問有許可權的雲資源。建立操作請參見建立RAM使用者。 |
阿里雲RAM角色 | RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。詳情請參見RAM角色概覽。 |
資來源目錄成員 | 資來源目錄RD(Resource Directory)是阿里雲面向企業客戶提供的一套多級帳號和資源關係管理服務。成員是通過資來源目錄建立出來的資源帳號,該資源帳號用於承載您在阿里雲上的某些專案或應用。詳情請參見什麼是資來源目錄。 |
許可權(Permission)
阿里雲使用許可權來描述RAM身份(RAM使用者、RAM使用者組、RAM角色)對具體資源的訪問能力,具體如下:
阿里雲帳號(資源屬主)控制所有許可權
每個資源有且僅有一個資源屬主,該資源屬主必須是阿里雲帳號,對資源擁有完全控制許可權。
資源屬主不一定是資源建立者。例如:一個RAM身份被授予建立資源的許可權,該RAM身份建立的資源歸屬於阿里雲帳號,該RAM身份是資源建立者但不是資源屬主。
RAM身份(操作員)預設無任何許可權
RAM身份代表的是操作員,其所有操作都需被阿里雲帳號顯式授權。
建立的RAM身份預設沒有任何操作許可權,只有在被授權之後,才能通過控制台和API操作資源。
權限原則(Policy)
權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範,請參見權限原則基本元素和權限原則文法和結構。
RAM支援以下兩種權限原則:
阿里雲管理的系統權限原則:統一由阿里雲建立,使用者只能使用,不能修改,策略的版本更新由阿里雲維護。
使用者管理的自訂權限原則:使用者可以自主建立、更新和刪除,策略的版本更新由使用者自己維護。
通過為RAM身份綁定權限原則,可以獲得權限原則中指定的存取權限。具體操作,請參見為RAM使用者授權、為RAM使用者組授權和為RAM角色授權。