Saat mengakses konsol Realtime Compute melalui Pengguna Resource Access Management (RAM) atau Peran RAM dan melakukan operasi seperti melihat, membeli, atau menghapus ruang kerja, Anda harus memiliki izin yang sesuai. Untuk menjamin keamanan operasi, administrator akun Alibaba Cloud yang membeli ruang kerja Flink harus memberikan kebijakan izin yang sesuai di konsol RAM kepada semua pihak berwenang. Topik ini menjelaskan kebijakan izin yang didukung serta metode konfigurasi otorisasi spesifik.
Skenario otorisasi
Skenario | Antarmuka | Deskripsi |
Tidak dapat mengakses Konsol Manajemen Realtime Compute | Anda tidak dapat melihat informasi ruang kerja apa pun, dan kesalahan berikut ditampilkan.
| Hal ini menunjukkan bahwa Anda tidak memiliki izin untuk mengakses Konsol Manajemen Realtime Compute. Hubungi administrator akun Alibaba Cloud yang membeli ruang kerja untuk memberikan akun Anda akses read-only minimal ke layanan Stream (AliyunStreamReadOnlyAccess) sesuai dengan prosedur otorisasi. Setelah otorisasi selesai, masuk kembali atau muat ulang halaman untuk mengakses secara normal. |
Tidak dapat melakukan operasi tertentu |
| Hal ini menunjukkan bahwa akun saat ini tidak memiliki izin untuk melakukan operasi ini. Untuk melakukan operasi tersebut, hubungi administrator akun Alibaba Cloud yang membeli ruang kerja untuk menyesuaikan kebijakan izin kustom sesuai kebutuhan spesifik Anda dan menyelesaikan otorisasi yang sesuai sesuai dengan prosedur otorisasi. Misalnya, seperti yang ditunjukkan pada gambar di sebelah kiri, akun Anda perlu diberikan izin terkait alokasi sumber daya ruang kerja berlangganan. |
Jenis kebijakan
Kebijakan izin adalah seperangkat izin yang dijelaskan dengan struktur sintaks untuk secara tepat menggambarkan sumber daya yang diizinkan, operasi yang diperbolehkan, serta kondisi otorisasi. Konsol RAM mendukung dua jenis kebijakan izin berikut:
System Policy: Kebijakan sistem dibuat dan diperbarui oleh Alibaba Cloud. Anda dapat menggunakan kebijakan sistem tersebut, tetapi tidak dapat mengubahnya. Versi kebijakan dikelola oleh Alibaba Cloud. Kebijakan sistem yang didukung oleh Flink adalah sebagai berikut.
Kumpulan izin
Nama
Deskripsi
Semua izin pada Realtime Compute for Apache Flink
AliyunStreamFullAccess
Mencakup semua izin dalam Kebijakan kustom.
Izin untuk mengakses Realtime Compute for Apache Flink dalam mode read-only
AliyunStreamReadOnlyAccess
Mencakup HasStreamDefaultRole dan semua izin yang dimulai dengan Describe, Query, Check, List, Get, dan Search dalam Kebijakan izin Realtime Compute for Apache Flink.
Izin untuk melihat dan membayar pesanan di Biaya dan Pengeluaran (BSS)
AliyunBSSOrderAccess
Memungkinkan Anda melihat dan membayar pesanan di konsol Biaya dan Pengeluaran.
Izin untuk berhenti berlangganan di Biaya dan Pengeluaran (BSS)
AliyunBSSRefundAccess
Izin untuk membatalkan pesanan di Biaya dan Pengeluaran (BSS).
Custom Policy: Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Anda sendiri yang memelihara versi kebijakan. Untuk informasi lebih lanjut tentang kebijakan kustom yang didukung oleh Flink dan cara membuatnya, lihat Kebijakan izin Realtime Compute for Apache Flink dan (Opsional) Langkah 1: Membuat kebijakan kustom.
Prasyarat
Anda memahami catatan otorisasi.
Prosedur otorisasi
(Opsional) Langkah 1: Membuat kebijakan kustom
Jika Anda berencana menggunakan kebijakan sistem AliyunStreamFullAccess secara langsung, langkah ini dapat dilewati.
Saat membuat kebijakan izin kustom, kami menyarankan Anda menggunakan layanan Realtime Compute (Stream) sebagai dasar dan merancang titik kontrol yang lebih granular sesuai kebutuhan aktual. Titik kontrol ini mencakup kebijakan izin kustom dan operasi izin pada produk terkait yang didukung oleh Realtime Compute for Apache Flink. Berikut adalah konten lengkap kebijakan izin kustom untuk akses read-only ke layanan Realtime Compute (Stream), yang memiliki cakupan izin yang sama dengan kebijakan sistem AliyunStreamReadOnlyAccess.
{
"Version": "1",
"Statement": [
{
"Action": [
"stream:Describe*",
"stream:Query*",
"stream:Check*",
"stream:List*",
"stream:Get*",
"stream:Search*",
"stream:HasStreamDefaultRole"
],
"Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
"Effect": "Allow"
}
]
}Langkah-langkah dan contoh untuk membuat kebijakan izin kustom: Membuat kebijakan izin kustom dan Contoh kebijakan izin kustom.
Dalam kebijakan izin, Action menunjukkan operasi yang akan dilakukan, Resource menunjukkan objek tempat operasi dilakukan, dan Effect menunjukkan apakah efek otorisasi adalah mengizinkan atau menolak. Untuk informasi lebih lanjut tentang sintaks dan struktur kebijakan izin, lihat Elemen dasar kebijakan izin dan Sintaks dan struktur kebijakan izin. Anda perlu mengganti parameter berikut dalam konten kebijakan dengan nilai aktual Anda:
{#regionId}: Wilayah tempat ruang kerja Flink target berada.
{#accountId}: UID akun Alibaba Cloud.
{#instanceId}: ID instans pesanan Realtime Compute for Apache Flink target.
{#namespace}: Nama ruang proyek target.
Langkah 2: Menyambungkan kebijakan target ke anggota
Dengan menyambungkan kebijakan izin ke Pengguna RAM atau Peran RAM, Anda dapat memberikan izin akses yang ditentukan dalam kebijakan tersebut. Topik ini menjelaskan cara memberikan izin kepada Pengguna RAM. Prosedur untuk memberikan izin kepada Peran RAM serupa. Untuk informasi lebih lanjut, lihat Memberikan izin kepada Peran RAM.
Masuk ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Users, temukan Pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa Pengguna RAM dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada Pengguna RAM sekaligus.
Pada panel Grant Permission, tambahkan izin untuk Pengguna RAM.
Parameter
Deskripsi
Resource Scope
Pilih cakupan aplikasi yang diperlukan:
Account: Izin diberikan kepada akun Alibaba Cloud saat ini.
ResourceGroup: Izin berlaku untuk kelompok sumber daya tertentu.
Principal
Pihak yang berwenang adalah Pengguna RAM yang ingin Anda berikan izin. Secara default, Pengguna RAM saat ini ditentukan sebagai pihak yang berwenang. Anda juga dapat menentukan Pengguna RAM lain.
Policy
Pilih kebijakan sistem Anda atau kebijakan kustom yang telah Anda buat.
Klik Grant permissions.
Klik Close.
Langkah 3: Masuk dan gunakan setelah otorisasi
Setelah otorisasi selesai, Pengguna RAM atau Peran RAM dapat masuk atau memuat ulang halaman login Konsol Manajemen Realtime Compute untuk melakukan operasi terkait.
Jenis login | Metode login | Cara masuk |
Pengguna RAM Alibaba Cloud | Login Pengguna RAM | |
Peran RAM Alibaba Cloud | Pengguna RAM di bawah akun utama A mengasumsikan peran A untuk masuk | |
Pengguna RAM di bawah akun utama B mengasumsikan peran A untuk masuk | ||
Anggota direktori sumber daya | Pengguna RAM akun manajemen mengasumsikan peran Peran RAM anggota untuk masuk | |
Masuk melalui Pengguna RAM anggota | Masuk ke Konsol Manajemen Alibaba Cloud melalui Pengguna RAM | |
Masuk melalui akun cloud (pengguna root) (tidak disarankan) | Masuk ke Konsol Manajemen Alibaba Cloud melalui pengguna root | |
Pengguna CloudSSO masuk melalui Peran RAM | Menggunakan CloudSSO untuk mengelola identitas dan izin untuk beberapa akun perusahaan | |
Pengguna CloudSSO masuk melalui Pengguna RAM |
Contoh Kebijakan Kustom
Pengguna RAM mengaktifkan Realtime Compute for Apache Flink (Opsi 1)
Pengguna RAM mengaktifkan Realtime Compute for Apache Flink (Opsi 2)
Pengguna RAM melepas ruang kerja Flink berlangganan
Pengguna RAM melepas ruang kerja Flink bayar sesuai penggunaan
Pengguna RAM melakukan alokasi sumber daya ruang proyek
Kebijakan kustom
Kebijakan izin Realtime Compute for Apache Flink
Sebelum mengonfigurasi informasi izin ruang proyek, Anda perlu terlebih dahulu mengonfigurasi izin untuk melihat ruang kerja yang dibuat (DescribeVvpInstances). Jika tidak, kesalahan tentang izin yang hilang akan dilaporkan.
Ruang kerja Flink
{
"Version": "1",
"Statement": [
{
"Action": [
"stream:CreateVvpInstance",
"stream:DescribeVvpInstances",
"stream:DeleteVvpInstance",
"stream:RenewVvpInstance",
"stream:ModifyVvpPrepayInstanceSpec",
"stream:ModifyVvpInstanceSpec",
"stream:ConvertVvpInstance",
"stream:QueryCreateVvpInstance",
"stream:QueryRenewVvpInstance",
"stream:QueryModifyVvpPrepayInstanceSpec",
"stream:QueryConvertVvpInstance"
],
"Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}",
"Effect": "Allow"
}
]
}aksi | Deskripsi |
CreateVvpInstance | Membeli Realtime Compute for Apache Flink. |
DescribeVvpInstances | Menampilkan ruang kerja. |
DeleteVvpInstance | Melepas ruang kerja Flink. |
RenewVvpInstance | Memperpanjang ruang kerja (berlangganan). |
ModifyVvpPrepayInstanceSpec | Menyesuaikan skala ruang kerja berlangganan. |
ModifyVvpInstanceSpec | Menyesuaikan kuota maksimum ruang kerja bayar sesuai penggunaan. |
ConvertVvpInstance | Mengubah metode penagihan ruang kerja. |
QueryCreateVvpInstance | Menanyakan harga untuk membuat ruang kerja. |
QueryRenewVvpInstance | Menanyakan harga untuk memperpanjang ruang kerja. |
QueryModifyVvpPrepayInstanceSpec | Menanyakan harga untuk menyesuaikan skala ruang kerja. |
QueryConvertVvpInstance | Menanyakan harga untuk mengonversi dari bayar sesuai penggunaan ke berlangganan. |
Untuk membeli Realtime Compute for Apache Flink dan melihat ruang kerja, Anda dapat mengubah Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId} menjadi "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*".
Ruang proyek Flink
{
"Version": "1",
"Statement": [
{
"Action": [
"stream:CreateVvpNamespace",
"stream:DeleteVvpNamespace",
"stream:ModifyVvpPrepayNamespaceSpec",
"stream:ModifyVvpNamespaceSpec",
"stream:DescribeVvpNamespaces"
],
"Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
"Effect": "Allow"
}
]
}aksi | Deskripsi |
CreateVvpNamespace | Membuat ruang proyek. |
DeleteVvpNamespace | Menghapus ruang proyek. |
ModifyVvpPrepayNamespaceSpec | Mengubah sumber daya untuk ruang proyek berlangganan. |
ModifyVvpNamespaceSpec | Mengubah sumber daya untuk ruang proyek bayar sesuai penggunaan. |
DescribeVvpNamespaces | Menampilkan daftar proyek. Menampilkan daftar ruang proyek.
Setelah mengonfigurasi kebijakan ini, Anda dapat mengklik ikon |
di sebelah kiri ID ruang kerja target untuk melihat daftar ruang proyek yang dibuat di bawah ruang kerja tersebut. Jika Anda juga perlu mengakses konsol pengembangan ruang proyek tertentu, Anda perlu diberikan otorisasi dengan izin pengembangan pekerjaan untuk ruang proyek yang sesuai. Untuk informasi lebih lanjut, lihat Untuk membuat ruang proyek dan melihat daftar ruang proyek, Anda dapat mengubah "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", menjadi "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*",.
Operasi izin pada layanan terkait
Operasi terkait ECS
Operasi terkait OSS
Operasi terkait ARMS
Operasi terkait VPC
Operasi terkait RAM
Poin izin terkait TAG
Operasi izin terkait DLF
Referensi
Jika Anda ingin beberapa pengguna menggunakan ruang proyek Flink bersama-sama untuk melakukan pengembangan pekerjaan, operasi dan pemeliharaan, serta operasi terkait lainnya di konsol pengembangan Realtime Compute, Anda perlu memberikan izin ruang proyek. Untuk informasi lebih lanjut, lihat Otorisasi konsol pengembangan.
Mengapa saya tidak dapat masuk ke konsol RAM setelah mengklik Otorisasi di RAM?
Mengapa konsol Realtime Compute menunjukkan bahwa akun saat ini kekurangan izin?
Mengapa Pengguna RAM tidak dapat melihat pekerjaan setelah diberikan AliyunStreamFullAccess?