Izin RAM - Realtime Compute for Apache Flink

Untuk mengakses konsol Realtime Compute for Apache Flink menggunakan pengguna Resource Access Management (RAM) atau peran RAM serta melakukan operasi seperti melihat, membeli, atau menghapus ruang kerja, Anda harus memiliki izin yang diperlukan. Demi keamanan, administrator Akun Alibaba Cloud yang membeli ruang kerja Flink harus menyambungkan kebijakan akses yang sesuai ke semua principal di konsol RAM. Topik ini menjelaskan kebijakan akses yang didukung dan konfigurasi otorisasi spesifik.

Skenario otorisasi

Skenario

Antarmuka

Deskripsi

Tidak dapat mengakses konsol Realtime Compute for Apache Flink

Anda tidak dapat melihat informasi ruang kerja apa pun, dan muncul pesan kesalahan berikut.

Kesalahan ini menunjukkan bahwa Anda tidak memiliki izin untuk mengakses konsol Realtime Compute for Apache Flink. Hubungi administrator Akun Alibaba Cloud yang membeli ruang kerja tersebut agar memberikan akun Anda setidaknya izin read-only untuk Realtime Compute for Apache Flink (AliyunStreamReadOnlyAccess). Untuk informasi selengkapnya, lihat Prosedur otorisasi. Setelah otorisasi selesai, masukkan kembali atau refresh halaman untuk mengakses konsol.

Tidak dapat melakukan operasi tertentu

Kesalahan ini menunjukkan bahwa akun saat ini tidak memiliki izin untuk melakukan operasi ini. Untuk melakukan operasi tersebut, hubungi administrator Akun Alibaba Cloud yang membeli ruang kerja tersebut agar menyesuaikan kebijakan kustom sesuai kebutuhan Anda dan menyelesaikan otorisasi. Untuk informasi selengkapnya, lihat Prosedur otorisasi. Sebagai contoh, seperti yang ditunjukkan pada gambar di sebelah kiri, akun Anda perlu diberikan izin terkait alokasi sumber daya untuk ruang kerja langganan.

Jenis kebijakan

Kebijakan akses adalah seperangkat izin yang dijelaskan menggunakan sintaks dan struktur kebijakan. Anda dapat menggunakan kebijakan akses untuk menentukan kumpulan resource, kumpulan operasi, dan kondisi otorisasi yang diizinkan. Konsol RAM mendukung jenis kebijakan akses berikut:

System policies: Kebijakan sistem dibuat oleh Alibaba Cloud. Anda dapat menggunakannya tetapi tidak dapat mengubahnya. Alibaba Cloud bertanggung jawab atas pembaruan versi kebijakan ini. Tabel berikut menjelaskan kebijakan sistem yang didukung Flink.

Kebijakan akses	Nama	Deskripsi
Akses penuh ke Realtime Compute for Apache Flink	AliyunStreamFullAccess	Mencakup semua izin dalam Kebijakan kustom.
Akses read-only ke Realtime Compute for Apache Flink	AliyunStreamReadOnlyAccess	Mencakup izin HasStreamDefaultRole dan semua izin yang dimulai dengan Describe, Query, Check, List, Get, dan Search dalam Kebijakan izin Realtime Compute for Apache Flink.
Izin untuk melihat dan membayar pesanan di Fee Hub (BSS)	AliyunBSSOrderAccess	Izin untuk melihat dan membayar pesanan di User Center.
Izin operasi berhenti berlangganan di Fee Hub (BSS)	AliyunBSSRefundAccess	Izin untuk berhenti berlangganan pesanan di User Center.

Custom policies: Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom. Anda bertanggung jawab atas pemeliharaan dan pembaruan versi kebijakan kustom Anda. Untuk informasi selengkapnya tentang kebijakan kustom yang didukung Flink dan cara membuat kebijakan kustom, lihat Kebijakan izin Realtime Compute for Apache Flink dan (Opsional) Langkah 1: Buat kebijakan kustom.

Prasyarat

Anda telah memahami petunjuk otorisasi.

Prosedur otorisasi

(Opsional) Langkah 1: Buat kebijakan kustom

Jika Anda ingin menggunakan kebijakan sistem AliyunStreamFullAccess, Anda dapat melewati langkah ini.

Saat membuat kebijakan kustom, kami menyarankan Anda menggunakan izin read-only untuk Realtime Compute for Apache Flink sebagai dasar, lalu menambahkan lebih banyak titik kontrol akses detail halus sesuai kebutuhan. Titik kontrol akses ini mencakup kebijakan kustom dan operasi izin untuk produk terkait yang didukung Realtime Compute for Apache Flink. Kode berikut menyediakan detail kebijakan kustom yang memberikan izin read-only untuk Realtime Compute for Apache Flink. Cakupan izinnya sama dengan kebijakan sistem AliyunStreamReadOnlyAccess.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole"
      ],
       "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
      "Effect": "Allow"
    }
  ]
}

Untuk informasi selengkapnya tentang cara membuat kebijakan kustom dan contohnya, lihat Buat kebijakan kustom dan Contoh kebijakan kustom.
Dalam kebijakan akses, Action menentukan operasi, Resource menentukan objek target, dan Effect menentukan apakah operasi diizinkan atau ditolak. Untuk informasi selengkapnya tentang sintaks dan struktur kebijakan akses, lihat Elemen kebijakan dan Struktur dan sintaks kebijakan. Ganti parameter dalam kebijakan dengan nilai aktual Anda. Tabel berikut menjelaskan parameter tersebut.
- {#regionId}: Wilayah tempat ruang kerja Flink tujuan berada.
- {#accountId}: UID Akun Alibaba Cloud.
- {#instanceId}: ID instans pesanan Realtime Compute for Apache Flink tujuan.
- {#namespace}: Nama proyek tujuan.

Langkah 2: Sambungkan kebijakan target ke anggota

Anda dapat menyambungkan kebijakan akses ke pengguna RAM atau peran RAM untuk memberikan izin yang ditentukan dalam kebijakan tersebut. Bagian ini menjelaskan cara memberikan izin kepada pengguna RAM. Prosedur untuk memberikan izin kepada peran RAM serupa. Untuk informasi selengkapnya, lihat Kelola peran RAM.

Login ke Konsol RAM sebagai administrator RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Pada halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.
Anda juga dapat memilih beberapa pengguna RAM sekaligus dan mengklik Add Permissions di bagian bawah halaman untuk memberikan izin kepada pengguna RAM tersebut secara bersamaan.

Pada panel Add Permissions, tambahkan izin untuk pengguna RAM.

Parameter	Deskripsi
Scope	Pilih cakupan aplikasi yang diperlukan: Alibaba Cloud Account: Izin berlaku dalam Akun Alibaba Cloud saat ini. Specific Resource Group: Izin berlaku dalam kelompok sumber daya yang ditentukan.
Principal	Principal yang akan diberikan izin. Nilainya adalah pengguna RAM yang ingin Anda otorisasi. Sistem secara otomatis menentukan pengguna RAM saat ini. Anda juga dapat menambahkan pengguna RAM lainnya.
Access Policy	Pilih kebijakan sistem atau kebijakan kustom yang telah Anda buat.

Klik tombol Confirm New Authorization.
Klik Close.

Langkah 3: Login ke konsol setelah otorisasi

Setelah otorisasi selesai, pengguna RAM atau peran RAM dapat login ke konsol Realtime Compute for Apache Flink atau merefresh halaman saat ini untuk melakukan operasi terkait.

Jenis login	Metode login	Cara login
Alibaba Cloud RAM user	Log on as a RAM user	Login ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM
Alibaba Cloud RAM role	A RAM user of Alibaba Cloud account A assumes a role of account A to log on	Mengasumsikan Peran RAM
Alibaba Cloud RAM role	A RAM user of Alibaba Cloud account B assumes a role of account A to log on	Mengakses resource lintas akun Alibaba Cloud
Resource directory member	A RAM user of the management account assumes a RAM role of a member to log on	Untuk informasi selengkapnya, lihat Login ke konsol Alibaba Cloud dengan mengasumsikan peran RAM.
	Log on as a RAM user of a member	Login ke Konsol Manajemen Alibaba Cloud sebagai pengguna RAM
	Log on as an Alibaba Cloud account (root user) (not recommended)	Login ke Konsol Manajemen Alibaba Cloud sebagai root user (tidak disarankan)
	A CloudSSO user logs on by assuming a RAM role	Gunakan CloudSSO untuk mengelola identitas dan izin secara terpusat di beberapa akun perusahaan
	A CloudSSO user logs on as a RAM user

Contoh kebijakan kustom

Contoh 1: Pengguna RAM mengaktifkan ruang kerja Realtime Compute for Apache Flink

Untuk mengizinkan pengguna RAM mengaktifkan ruang kerja Realtime Compute for Apache Flink berlangganan yang menggunakan penyimpanan fully managed dan pemantauan gratis, Anda dapat membuat dan memberikan kebijakan kustom yang mencakup izin berikut:

Izin read-only untuk Realtime Compute for Apache Flink: stream:Describe*, stream:Query*, stream:Check*, stream:List*, stream:Get*, stream:Search*, dan stream:HasStreamDefaultRole.
Izin untuk membeli ruang kerja Realtime Compute for Apache Flink: stream:CreateVvpInstance
Izin agar Flink dapat mengkueri VPC yang ada: vpc:DescribeVpcs
Izin agar Flink dapat mengkueri vSwitch yang ada: vpc:DescribeVSwitches
Izin untuk melihat dan membayar pesanan di User Center: bss:DescribeOrderList, bss:DescribeOrderDetail, bss:PayOrder, dan bss:CancelOrder

Kebijakan kustom lengkapnya adalah sebagai berikut.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:CreateVvpInstance",
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "bss:DescribeOrderList",
        "bss:DescribeOrderDetail",
        "bss:PayOrder",
        "bss:CancelOrder"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Contoh 2: Pengguna RAM mengaktifkan ruang kerja Realtime Compute for Apache Flink (dengan kebijakan sistem yang sudah ada)

Jika pengguna RAM sudah memiliki kebijakan sistem AliyunStreamFullAccess, Anda juga harus membuat dan memberikan kebijakan kustom kepada pengguna RAM tersebut agar dapat mengaktifkan ruang kerja Realtime Compute for Apache Flink berlangganan yang menggunakan penyimpanan fully managed dan pemantauan gratis. Kebijakan kustom tersebut harus mencakup izin berikut:

Izin agar Flink dapat mengkueri VPC yang ada: vpc:DescribeVpcs
Izin agar Flink dapat mengkueri vSwitch yang ada: vpc:DescribeVSwitches
Izin untuk melihat dan membayar pesanan di User Center: bss:DescribeOrderList, bss:DescribeOrderDetail, bss:PayOrder, dan bss:CancelOrder

Kode berikut menyediakan kebijakan kustom lengkapnya.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "bss:DescribeOrderList",
        "bss:DescribeOrderDetail",
        "bss:PayOrder",
        "bss:CancelOrder"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Contoh 3: Pengguna RAM melepas ruang kerja Flink berlangganan

Untuk mengizinkan pengguna RAM melepas ruang kerja Flink berlangganan, Anda dapat membuat dan memberikan kebijakan kustom yang mencakup izin berikut:

Izin read-only untuk Realtime Compute for Apache Flink: stream:Describe*, stream:Query*, stream:Check*, stream:List*, stream:Get*, stream:Search*, dan stream:HasStreamDefaultRole.
Izin untuk berhenti berlangganan pesanan di User Center: bss:Describe* dan bss:Refund*

Kode berikut menyediakan kebijakan kustom lengkapnya.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "bss:Describe*",
        "bss:Refund*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Contoh 4: Pengguna RAM melepas ruang kerja Flink pay-as-you-go

Untuk mengizinkan pengguna RAM melepas ruang kerja Flink pay-as-you-go, Anda dapat membuat dan memberikan kebijakan kustom yang mencakup izin berikut:

Izin read-only untuk Realtime Compute for Apache Flink: stream:Describe*, stream:Query*, stream:Check*, stream:List*, stream:Get*, stream:Search*, dan stream:HasStreamDefaultRole.
Izin untuk melepas ruang kerja Flink: stream:DeleteVvpInstance

Kode berikut menyediakan kebijakan kustom lengkapnya.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:DeleteVvpInstance"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Contoh 5: Pengguna RAM mengalokasikan sumber daya untuk proyek

Untuk menggunakan pengguna RAM guna melepas instans Realtime Compute for Apache Flink berlangganan, Anda harus membuat dan memberikan kebijakan kustom. Kebijakan kustom ini harus mencakup izin berikut:

Izin read-only untuk Realtime Compute for Apache Flink: stream:Describe*, stream:Query*, stream:Check*, stream:List*, stream:Get*, stream:Search*, dan stream:HasStreamDefaultRole.
Izin untuk mengubah sumber daya proyek berlangganan: ModifyVvpNamespaceSpec.

Kode berikut menyediakan kebijakan kustom lengkapnya.

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:ModifyVvpNamespaceSpec"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Kebijakan kustom

Realtime Compute for Apache Flink kebijakan izin

Penting

Sebelum mengonfigurasi izin untuk proyek, Anda harus mengonfigurasi izin untuk melihat ruang kerja yang ada (DescribeVvpInstances). Jika tidak, akan terjadi kesalahan izin.

Ruang kerja Flink

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:CreateVvpInstance",
        "stream:DescribeVvpInstances",
        "stream:DeleteVvpInstance",
        "stream:RenewVvpInstance",
        "stream:ModifyVvpPrepayInstanceSpec",
        "stream:ModifyVvpInstanceSpec",
        "stream:ConvertVvpInstance",
        "stream:QueryCreateVvpInstance",
        "stream:QueryRenewVvpInstance",
        "stream:QueryModifyVvpPrepayInstanceSpec",
        "stream:QueryConvertVvpInstance"
      ],
      "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}",
      "Effect": "Allow"
    }
  ]
}

action	Deskripsi
CreateVvpInstance	Beli ruang kerja Realtime Compute for Apache Flink.
DescribeVvpInstances	Lihat ruang kerja.
DeleteVvpInstance	Lepaskan ruang kerja Flink.
RenewVvpInstance	Perpanjang ruang kerja berlangganan.
ModifyVvpPrepayInstanceSpec	Skalakan ruang kerja berlangganan.
ModifyVvpInstanceSpec	Sesuaikan kuota ruang kerja pay-as-you-go.
ConvertVvpInstance	Ubah metode penagihan ruang kerja.
QueryCreateVvpInstance	Kueri harga pembuatan ruang kerja.
QueryRenewVvpInstance	Kueri harga perpanjangan ruang kerja.
QueryModifyVvpPrepayInstanceSpec	Kueri harga penskalaan ruang kerja.
QueryConvertVvpInstance	Kueri harga perubahan metode penagihan dari pay-as-you-go ke langganan.

Catatan

Saat membeli ruang kerja Realtime Compute for Apache Flink dan melihat ruang kerja, Anda dapat mengubah Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId} menjadi "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*".

Proyek Flink

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:CreateVvpNamespace",
        "stream:DeleteVvpNamespace",
        "stream:ModifyVvpPrepayNamespaceSpec",
        "stream:ModifyVvpNamespaceSpec",
        "stream:DescribeVvpNamespaces"
      ],
       "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
      "Effect": "Allow"
    }
  ]
}

action	Deskripsi
CreateVvpNamespace	Buat proyek.
DeleteVvpNamespace	Hapus proyek.
ModifyVvpPrepayNamespaceSpec	Ubah sumber daya proyek berlangganan.
ModifyVvpNamespaceSpec	Ubah sumber daya proyek pay-as-you-go.
DescribeVvpNamespaces	Lihat daftar proyek. Setelah mengonfigurasi kebijakan ini, Anda dapat mengklik ikon di sebelah kiri ID ruang kerja tujuan untuk melihat daftar proyek yang dibuat di ruang kerja tersebut. Jika ingin masuk ke konsol pengembangan proyek tujuan, Anda harus diberikan izin untuk mengembangkan pekerjaan di proyek tersebut. Untuk informasi selengkapnya, lihat Otorisasi konsol pengembangan.

Catatan

Saat membuat proyek dan melihat daftar proyek, Anda dapat mengubah "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", menjadi "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*",.

Operasi izin untuk produk terkait

Operasi izin terkait ECS

Untuk mengakses konsol pengembangan dari internet, Anda harus mengaktifkan Elastic IP Address (EIP). Untuk menghubungkan ke resource di Virtual Private Cloud (VPC), Anda harus membuat elastic network interfaces (ENIs) di VPC tersebut. ENI ini ditambahkan ke grup keamanan khusus untuk Flink arsitektur tanpa server. Dalam kasus ini, Flink memerlukan izin untuk mengoperasikan EIP, grup keamanan, dan ENI.

Operasi (Action)	Deskripsi
ecs:AssociateEipAddress	Minta alamat EIP yang dapat digunakan untuk mengakses layanan Flink melalui jaringan publik.
ecs:AttachNetworkInterface	Izinkan layanan Flink menyambungkan ENI Anda ke kolam sumber daya Flink.
ecs:AuthorizeSecurityGroup	Produk Flink membuat grup keamanan baru. Izin ini digunakan untuk menambahkan aturan inbound ke grup keamanan tersebut.
ecs:AuthorizeSecurityGroupEgress	Produk Flink membuat grup keamanan baru. Izin ini digunakan untuk menambahkan aturan outbound ke grup keamanan tersebut.
ecs:CreateNetworkInterface	Izinkan layanan Flink membuat ENI di VPC Anda untuk mendukung koneksi dari layanan Flink ke VPC Anda.
ecs:CreateNetworkInterfacePermission	Izinkan layanan Flink memberikan izin pada ENI.
ecs:CreateSecurityGroup	Produk Flink membuat grup keamanan baru. Izin ini digunakan untuk membuat grup keamanan tersebut.
ecs:DeleteNetworkInterface	Hapus ENI dari resource terkait setelah tugas Flink selesai.
ecs:DeleteNetworkInterfacePermission	Izinkan layanan Flink memiliki izin untuk melepaskan ENI Anda.
ecs:DeleteSecurityGroup	Produk Flink membuat grup keamanan baru. Izin ini digunakan untuk menghapus grup keamanan tersebut.
ecs:DescribeNetworkInterfacePermissions	Izinkan ENI Anda dilepaskan dari kolam sumber daya Flink arsitektur tanpa server.
ecs:DescribeNetworkInterfaces	Izinkan layanan Flink mengkueri ENI.
ecs:DescribeSecurityGroupAttribute	Izinkan layanan Flink mengkueri aturan grup keamanan.
ecs:DescribeSecurityGroupReferences	Izinkan layanan Flink mengkueri grup keamanan dan perilaku otorisasi tingkat grup keamanan.
ecs:DescribeSecurityGroups	Izinkan layanan Flink mengkueri informasi dasar tentang grup keamanan yang telah dibuat.
ecs:DetachNetworkInterface	Izinkan layanan Flink melepaskan ENI Anda dari kolam sumber daya Flink.
ecs:JoinSecurityGroup	Izinkan layanan Flink menambahkan ENI ke grup keamanan tertentu.
ecs:LeaveSecurityGroup	Izinkan layanan Flink menghapus ENI dari grup keamanan tertentu.
ecs:ModifyNetworkInterfaceAttribute	Izinkan layanan Flink mengubah nama, deskripsi, dan grup keamanan ENI.
ecs:ModifySecurityGroupAttribute	Izinkan layanan Flink mengubah nama atau deskripsi grup keamanan.
ecs:ModifySecurityGroupPolicy	Izinkan layanan Flink mengubah kebijakan konektivitas dalam grup keamanan.
ecs:ModifySecurityGroupRule	Izinkan layanan Flink mengubah deskripsi aturan inbound grup keamanan.
ecs:RevokeSecurityGroup	Izinkan Flink menghapus aturan inbound grup keamanan.
ecs:RevokeSecurityGroupEgress	Izinkan Flink menghapus aturan outbound grup keamanan.
ecs:UnassociateEipAddress	Izinkan layanan Flink melepas EIP.

Operasi izin terkait OSS

Untuk melihat daftar bucket OSS, Anda harus diberikan izin terkait OSS yang diperlukan.

Operasi (Action)	Deskripsi
oss:ListBuckets	Izinkan layanan Flink melihat daftar bucket OSS.
oss:GetBucketInfo	Dapatkan informasi tentang bucket.
oss:GetObjectMetadata	Dapatkan metadata file.
oss:GetObject	Dapatkan file.
oss:ListObjects	Daftarkan informasi semua objek dalam bucket.
oss:PutObject	Unggah file.
oss:CopyObject	Anda dapat menyalin file (objek) di dalam dan antar bucket dalam wilayah yang sama.
oss:CompleteMultipartUpload	Selesaikan unggah multi-bagian file setelah semua bagian data diunggah.
oss:AbortMultipartUpload	Batalkan event unggah multi-bagian dan hapus data bagian yang sesuai.
oss:InitiateMultipartUpload	Beritahu OSS untuk menginisialisasi event unggah multi-bagian sebelum data dikirim dalam mode unggah multi-bagian.
oss:UploadPartCopy	Salin data dari objek yang ada untuk mengunggah bagian.
oss:UploadPart	Unggah data per bagian berdasarkan nama objek dan ID unggah yang ditentukan.
oss:DeleteObject	Hapus file (objek).
oss:PutBucketcors	Tetapkan aturan Berbagi sumber daya lintas domain (CORS) untuk bucket tertentu.
oss:GetBucketCors	Dapatkan aturan CORS saat ini dari bucket tertentu.
oss:PutBucket	Buat bucket.

Catatan

Jika Anda menggunakan fitur enkripsi Key Management Service (KMS) OSS, Anda harus menambahkan kebijakan akses terkait KMS ke peran AliyunStreamAsiDefaultRole untuk memastikan fitur tersebut dapat digunakan sebagaimana mestinya. Untuk informasi selengkapnya tentang kebijakan tersebut, lihat Unggah file ke bucket yang dikonfigurasi dengan enkripsi default.

Operasi izin terkait ARMS

Metrik Flink disimpan di Application Real-Time Monitoring Service (ARMS). Oleh karena itu, layanan ARMS diaktifkan untuk Anda.

Operasi (Action)	Deskripsi
arms:ListDashboards	Lihat informasi Dasbor ARMS.
arms:CreateContact	Buat kontak.
arms:DeleteContact	Hapus kontak.
arms:SearchContact	Cari kontak.
arms:UpdateContact	Perbarui kontak.
arms:CreateContactGroup	Buat grup kontak.
arms:DeleteContactGroup	Hapus grup kontak.
arms:SearchContactGroup	Cari grup kontak.
arms:UpdateContactGroup	Perbarui grup kontak.
arms:SearchAlertRules	Cari aturan alert.
arms:CreateAlertRules	Buat aturan alert.
arms:UpdateAlertRules	Perbarui aturan alert.
arms:DeleteAlertRules	Hapus aturan alert.
arms:StartAlertRule	Jalankan aturan alert.
arms:StopAlertRule	Jeda aturan alert.
arms:SearchAlarmHistories	Lihat informasi historis alert.
arms:OpenArmsService	Aktifkan layanan ARMS.
arms:CreateWebhook	Buat webhook.
arms:UpdateWebhook	Perbarui webhook.
arms:CreateDispatchRule	Buat aturan penjadwalan.
arms:ListDispatchRule	Anda dapat melihat daftar aturan distribusi.
arms:DeleteDispatchRule	Hapus aturan penjadwalan.
arms:UpdateDispatchRule	Perbarui aturan penjadwalan.
arms:DescribeDispatchRule	Lihat detail aturan penjadwalan.
arms:GetAlarmHistories	Dapatkan riwayat pengiriman alert.
arms:SaveAlert	Simpan aturan alert.
arms:DeleteAlert	Hapus aturan alert.
arms:GetAlert	Dapatkan aturan alert.
arms:CheckServiceStatus	Periksa status aktivasi layanan.
arms:InstallManagedPrometheus	Buat instans Prometheus terkelola.
arms:UninstallManagedPrometheus	Nonaktifkan instans Prometheus terkelola.
arms:GetManagedPrometheusStatus	Dapatkan status instalasi instans Prometheus terkelola.

Operasi izin terkait VPC

Saat mengaktifkan ruang kerja Flink, diperlukan izin Describe untuk resource di VPC.

Operasi (Action)	Deskripsi
vpc:DescribeVpcAttribute	Izinkan layanan Flink mengkueri informasi konfigurasi VPC tertentu.
vpc:DescribeVpcs	Izinkan layanan Flink mengkueri VPC yang telah dibuat.
vpc:DescribeVSwitchAttributes	Izinkan layanan Flink mengkueri informasi vSwitch tertentu.
vpc:DescribeVSwitches	Izinkan layanan Flink mengkueri vSwitch yang telah dibuat.
vpc:DescribeRouteTableList	Izinkan layanan Flink mengkueri daftar tabel rute.
vpc:DescribeRouteTables	Izinkan layanan Flink mengkueri tabel rute tertentu.
vpc:DescribeRouteEntryList	Izinkan layanan Flink mengkueri daftar entri rute.
vpc:DescribeRouterInterfaceAttribute	Izinkan layanan Flink mengkueri konfigurasi antarmuka router.
vpc:DescribeRouterInterfaces	Izinkan layanan Flink mengkueri antarmuka router.
vpc:DescribeVRouters	Izinkan layanan Flink mengkueri daftar vRouter di wilayah tertentu.
vpc:CreateVpc	Buat VPC.
vpc:CreateVSwitch	Buat vSwitch.

Operasi izin terkait RAM

Saat mengaktifkan ruang kerja Flink, diperlukan izin terkait RAM untuk konfigurasi resource.

Operasi (Action)	Deskripsi
ram:*	Izin untuk menambah, menghapus, memodifikasi, dan mengkueri domain dan resource RAM aplikasi.

Poin izin terkait TAG

Operasi (Action)	Deskripsi
tag:ListTagResources	Kueri daftar tag resource.
tag:ListTagKeys	Kueri daftar kunci tag.
tag:ListTagValues	Kueri nilai tag yang sesuai dengan kunci tag tertentu.

Operasi izin terkait DLF

Saat mengaktifkan ruang kerja Flink, diperlukan izin Data Lake Formation (DLF) untuk mengakses katalog terkait DLF.

Operasi (Action)	Deskripsi
dlf:BatchCreatePartitions	Buat beberapa partisi sekaligus.
dlf:BatchCreateTables	Buat beberapa tabel sekaligus.
dlf:BatchDeletePartitions	Hapus beberapa partisi sekaligus.
dlf:BatchDeleteTables	Hapus beberapa tabel sekaligus.
dlf:BatchGetPartitions	Dapatkan beberapa partisi sekaligus.
dlf:BatchGetTables	Dapatkan beberapa tabel sekaligus.
dlf:BatchUpdatePartitions	Perbarui beberapa partisi sekaligus.
dlf:BatchUpdateTables	Perbarui beberapa tabel sekaligus.
dlf:CreateCatalog	Buat katalog data lake.
dlf:CreateDatabase	Buat database.
dlf:CreateFunction	Buat fungsi.
dlf:CreatePartition	Buat partisi.
dlf:CreateTable	Buat tabel.
dlf:DeleteCatalog	Hapus katalog data lake.
dlf:DeleteDatabase	Hapus database.
dlf:DeleteFunction	Hapus fungsi.
dlf:DeletePartition	Hapus partisi.
dlf:DeleteTable	Hapus tabel.
dlf:GetAsyncTaskStatus	Dapatkan status tugas asinkron.
dlf:GetCatalog	Dapatkan katalog data lake.
dlf:GetCatalogByInstanceId	Dapatkan katalog berdasarkan ID instans.
dlf:GetCatalogSettings	Dapatkan konfigurasi data lake.
dlf:GetDatabase	Dapatkan database.
dlf:GetFunction	Dapatkan fungsi.
dlf:GetPartition	Dapatkan partisi.
dlf:GetTable	Dapatkan tabel.
dlf:ListCatalogs	Dapatkan daftar katalog.
dlf:ListDatabases	Dapatkan daftar database.
dlf:ListFunctionNames	Dapatkan daftar nama fungsi.
dlf:ListFunctions	Dapatkan daftar fungsi.
dlf:ListPartitionNames	Dapatkan daftar nama partisi.
dlf:ListPartitions	Dapatkan daftar partisi.
dlf:ListPartitionsByExpr	Dapatkan daftar partisi berdasarkan ekspresi.
dlf:ListPartitionsByFilter	Dapatkan daftar partisi berdasarkan filter.
dlf:ListTableNames	Dapatkan daftar nama tabel.
dlf:ListTables	Dapatkan daftar tabel.
dlf:RenamePartition	Ubah nama partisi.
dlf:RenameTable	Ubah nama tabel.
dlf:UpdateCatalog	Perbarui katalog data lake.
dlf:UpdateDatabase	Perbarui database.
dlf:UpdateFunction	Perbarui fungsi.
dlf:UpdateTable	Perbarui tabel.
dlf:BatchGetPartitionColumnStatistics	Dapatkan statistik partisi metadata sekaligigus.
dlf:DeletePartitionColumnStatistics	Hapus statistik partisi tabel metadata.
dlf:DeleteTableColumnStatistics	Hapus statistik tabel metadata.
dlf:GetPartitionColumnStatistics	Dapatkan statistik kolom partisi metadata.
dlf:GetTableColumnStatistics	Dapatkan statistik kolom tabel metadata.
dlf:UpdateTableColumnStatistics	Perbarui statistik tabel metadata.
dlf:UpdatePartitionColumnStatistics	Perbarui statistik partisi tabel metadata.
dlf:CreateLock	Buat kunci metadata.
dlf:UnLock	Buka kunci metadata tertentu.
dlf:AbortLock	Batalkan kunci metadata.
dlf:RefreshLock	Segarkan kunci metadata.
dlf:GetLock	Kueri kunci metadata.
dlf:GetCatalogAccessInfo	Gunakan CatalogUuid untuk mendapatkan informasi penyimpanan backend seperti StorageName dan StorageEndpoint.
dlf:GetDataToken	Gunakan UUID untuk mendapatkan kunci data tingkat katalog atau tingkat tabel.
dlf:GetDataTokenByName	Gunakan CatalogUuid, DatabaseName, dan TableName untuk mendapatkan kunci data tingkat katalog atau tingkat tabel.
dlf-auth:ActOnBehalfOfAnotherUser	Lewati identitas. Peran terkait layanan (SLR) atau peran layanan (SR) mengakses DLF atas nama pengguna lain.
dlf:GrantPermissions	Berikan izin principal pada resource.
dlf:RevokePermissions	Cabut izin pada resource dari principal.
dlf:BatchGrantPermissions	Berikan izin secara batch.
dlf:BatchRevokePermissions	Cabut izin secara batch.
dlf:UpdatePermissions	Perbarui izin principal pada resource.
dlf:ListPermissions	Dapatkan informasi izin resource atau principal tertentu.
dlf:CreateRole	Buat peran.
dlf:UpdateRole	Perbarui peran.
dlf:DeleteRole	Hapus peran.
dlf:GetRole	Dapatkan peran.
dlf:ListRoles	Kueri daftar peran.
dlf:GrantRolesToUser	Berikan beberapa izin peran kepada pengguna tertentu sekaligus.
dlf:RevokeRolesFromUser	Cabut beberapa izin peran dari pengguna tertentu sekaligus.
dlf:GrantRoleToUsers	Berikan izin peran tertentu kepada beberapa pengguna sekaligus.
dlf:RevokeRoleFromUsers	Cabut izin peran tertentu dari beberapa pengguna sekaligus.
dlf:UpdateRoleUsers	Perbarui pengguna dalam peran.
dlf:ListRoleUsers	Kueri daftar pengguna dalam peran.
dlf:ListUserRoles	Kueri daftar peran pengguna.
dlf:GrantRolesToPrincipal	Berikan beberapa izin peran kepada principal tertentu sekaligus.
dlf:RevokeRolesFromPrincipal	Cabut beberapa izin peran dari principal tertentu sekaligus.
dlf:GrantRoleToPrincipals	Berikan izin peran tertentu kepada beberapa principal sekaligus.
dlf:RevokeRoleFromPrincipals	Cabut izin peran tertentu dari beberapa principal sekaligus.
dlf:UpdateRolePrincipals	Perbarui principal dalam peran.
dlf:BatchDeleteRoles	Hapus beberapa peran sekaligus.
dlf:CheckPermissions	Periksa izin.
dlf:GetCatalogStorageStatistics	Dapatkan metrik statistik katalog.
dlf:GetCatalogStorageIndicatorDetails	Dapatkan tren metrik katalog.
dlf:GetCatalogStorageRank	Dapatkan peringkat statistik penyimpanan katalog.
dlf:GetCatalogStorageAnalysis	Dapatkan data distribusi penyimpanan katalog.
dlf:GetDatabaseProfile	Dapatkan profil data database.
dlf:GetDatabaseStorageAnalysis	Dapatkan data distribusi penyimpanan database.
dlf:GetTableProfile	Dapatkan profil data tabel.
dlf:GetTableStorageAnalysis	Dapatkan data distribusi penyimpanan tabel.
dlf:ListPartitionProfiles	Dapatkan daftar profil data partisi.
dlf:getLatestStorageStatisticsDate	Dapatkan waktu pembaruan terakhir data ikhtisar penyimpanan.
dlf:SubscribeOptimize	Kirim untuk optimasi.
dlf:GetOptimizeRegionStatus	Dapatkan status wilayah optimasi.
dlf:GetOptimizeWorkspaceAuthorization	Dapatkan autentikasi ruang kerja optimasi.
dlf:AddOptimizeWorkspace	Tambahkan ruang kerja optimasi.
dlf:ListOptimizeWorkspaces	Dapatkan daftar ruang kerja optimasi.
dlf:PreCheckOptimizeWorkspaceConnection	Periksa koneksi ruang kerja optimasi sebelumnya.
dlf:CheckOptimizeWorkspaceConnection	Periksa koneksi ruang kerja optimasi.
dlf:DeleteOptimizeWorkspace	Hapus ruang kerja optimasi.
dlf:SetOptimizeEnable	Tetapkan sakelar optimasi penyimpanan.
dlf:SetOptimizePolicy	Tetapkan kebijakan optimasi penyimpanan.
dlf:GetOptimizePolicy	Dapatkan kebijakan optimasi penyimpanan.
dlf:SetOptimizeScheduleRule	Tambahkan aturan penjadwalan optimasi penyimpanan.
dlf:ListOptimizeScheduleRules	Dapatkan daftar jadwal optimasi.
dlf:DeleteOptimizeScheduleRule	Hapus aturan penjadwalan optimasi penyimpanan.
dlf:RunOptimizeImmediately	Jalankan optimasi manajemen penyimpanan segera.
dlf:GetOptimizeInfo	Dapatkan informasi optimasi.
dlf:UpdateOptimizeTaskResult	Perbarui hasil tugas optimasi penyimpanan.
dlf:BatchDeleteTableVersions	Hapus versi tertentu dari tabel Data Lake sekaligus.
dlf:DeleteTableVersion	Hapus versi tertentu dari tabel Data Lake.
dlf:GetTableVersion	Dapatkan versi tertentu dari tabel Data Lake.
dlf:ListTableVersions	Kueri daftar versi tertentu dari tabel Data Lake berdasarkan halaman.
dlf:Search	Ambil metadata.
dlf:SearchAcrossCatalog	Cari konten seperti database, tabel, dan bidang lintas katalog.
dlf:GetServiceStatus	Dapatkan status aktivasi layanan pengguna untuk Data Lake Formation.
dlf:GetRegionStatus	Dapatkan status aktivasi layanan Data Lake Formation di wilayah tertentu.

Referensi

Jika Anda ingin beberapa pengguna berbagi proyek di Flink dan melakukan operasi seperti pengembangan pekerjaan dan O&M di konsol pengembangan Realtime Compute for Apache Flink, Anda harus mengotorisasi proyek tersebut. Untuk informasi selengkapnya, lihat Otorisasi konsol pengembangan.
Untuk informasi selengkapnya, lihat Mengapa saya tidak dapat masuk ke konsol RAM setelah mengklik Authorize di RAM saat aktivasi layanan?.
Untuk informasi selengkapnya, lihat Mengapa saya mendapat pesan bahwa akun saat ini tidak memiliki izin yang diperlukan saat login ke konsol Realtime Compute for Apache Flink?.
Untuk informasi selengkapnya, lihat Mengapa pengguna RAM tidak dapat melihat pekerjaan setelah kebijakan AliyunStreamFullAccess disambungkan?
Untuk informasi selengkapnya, lihat Apa yang harus saya lakukan jika saya tidak sengaja menghapus peran atau mengubah kebijakan otorisasi sehingga layanan Realtime Compute for Apache Flink menjadi tidak tersedia?
Apa yang harus saya lakukan jika saya tidak memiliki izin untuk melakukan operasi dan perlu menghubungi administrator peran?