Pengguna Manajemen Akses Sumber Daya (RAM) yang mengelola penjadwalan pekerjaan XXL-JOB memerlukan dua set izin:
Izin penjadwalan pekerjaan — Mengontrol akses ke kluster, aplikasi, pekerjaan, dan operasi XXL-JOB.
Izin read-only CloudMonitor — Menampilkan dasbor statistik penjadwalan di halaman instans XXL-JOB.
Berikan kedua set izin tersebut kepada setiap pengguna RAM. Tanpa kebijakan read-only CloudMonitor, dasbor statistik penjadwalan di halaman informasi dasar instans XXL-JOB akan disembunyikan.
Izin penjadwalan pekerjaan
Anda dapat memberikan izin XXL-JOB menggunakan kebijakan sistem atau kebijakan kustom:
Kebijakan sistem — Sambungkan kebijakan sistem di Konsol RAM untuk skenario umum seperti akses penuh atau akses read-only. Lihat Berikan izin kepada pengguna RAM.
Kebijakan kustom — Buat kebijakan kustom untuk kontrol detail halus tingkat instans. Lihat Contoh kebijakan kustom.
Cakupan izin
Izin XXL-JOB diterapkan pada dua tingkat:
Tingkat akun — Berlaku untuk semua resource. Setiap pengguna RAM memerlukan izin ini untuk mengakses Konsol XXL-JOB.
Tingkat instans — Dibatasi pada instans XXL-JOB tertentu. Gunakan ini untuk memberikan akses detail halus per instans.
Izin tingkat akun
Setiap pengguna RAM yang mengakses XXL-JOB harus memiliki izin berikut. Izin ini berlaku secara global dan tidak difilter berdasarkan instans.
| Action | Description | Read-only |
|---|---|---|
| ListClusters | Daftar kluster | Yes |
Izin tingkat instans
Berikan izin ini secara selektif berdasarkan kebutuhan masing-masing pengguna RAM. Setiap izin dibatasi pada instans tertentu.
Query
| Action | Description | Read-only |
|---|---|---|
| ListAppNames | Daftar nama aplikasi | Yes |
| ListApps | Daftar aplikasi | Yes |
| ListCalendarNames | Daftar nama kalender kustom | Yes |
| ListExecutors | Daftar pelaksana | Yes |
| ListJobs | Daftar pekerjaan | Yes |
| ListJobExecutions | Daftar eksekusi pekerjaan | Yes |
| ListScheduleTimes | Daftar lima waktu penjadwalan berikutnya | Yes |
Create
| Action | Description | Read-only |
|---|---|---|
| CreateCluster | Buat kluster | No |
| CreateApp | Buat aplikasi di instans XXL-JOB | No |
| CreateJob | Buat pekerjaan XXL-JOB | No |
Update
| Action | Description | Read-only |
|---|---|---|
| UpdateCluster | Perbarui kluster | No |
| UpdateApp | Perbarui aplikasi di instans XXL-JOB | No |
| UpdateJob | Perbarui pekerjaan XXL-JOB | No |
Delete
| Action | Description | Read-only |
|---|---|---|
| DeleteCluster | Hapus kluster | No |
| DeleteApp | Hapus aplikasi | No |
| DeleteJobs | Hapus beberapa pekerjaan sekaligus | No |
Operasi O&M
| Action | Description | Read-only |
|---|---|---|
| OperateDesignateExecutors | Tentukan pelaksana untuk suatu pekerjaan | No |
| OperateDisableJobs | Nonaktifkan beberapa pekerjaan sekaligus | No |
| OperateEnableJobs | Aktifkan beberapa pekerjaan sekaligus | No |
| OperateExecuteJob | Jalankan pekerjaan sekali | No |
| OperateRerunJob | Jalankan ulang pekerjaan dalam periode tertentu | No |
| OperateRetryJobExecution | Coba ulang eksekusi pekerjaan yang gagal | No |
| OperateStopJobExecution | Hentikan eksekusi pekerjaan yang sedang berjalan | No |
Contoh kebijakan kustom
XXL-JOB menggunakan namespace layanan schedulerx3. Format ARN resource mengikuti pola berikut:
acs:schedulerx3:<region>:<account-id>:cluster/<instance-id>| Segmen ARN | Description | Wildcard |
|---|---|---|
<region> | ID Wilayah, seperti cn-hangzhou | * sesuai semua wilayah |
<account-id> | ID akun Alibaba Cloud | * cocok dengan semua akun |
<instance-id> | ID instans XXL-JOB, seperti xxljob-0pp1j8om80a | * cocok dengan semua instance |
Sebagai contoh, acs:schedulerx3:*:*:cluster/* mencakup semua instans XXL-JOB di seluruh wilayah dan akun.
Setiap kebijakan kustom memerlukan dua pernyataan:
Pernyataan tingkat akun — Memberikan izin
ListClusterspada semua resource (acs:schedulerx3:*:*:*). Diperlukan untuk akses konsol.Pernyataan tingkat instans — Memberikan aksi spesifik pada instans target.
Untuk membuat kebijakan kustom, buka Konsol RAM. Pilih Permissions > Policies > Create Policy, pilih mode pengeditan Script, lalu tempel kode JSON berikut.
Akses penuh ke instans tertentu
Memberikan akses baca dan tulis ke semua operasi pada instans xxljob-0pp1j8om80a. Pengguna RAM dapat membuat, memperbarui, menghapus, dan menjalankan pekerjaan pada instans ini. Instans lain tidak dapat diakses.
{
"Statement": [
{
"Action": "schedulerx3:ListClusters",
"Resource": "acs:schedulerx3:*:*:*",
"Effect": "Allow"
},
{
"Action": "schedulerx3:*",
"Resource": "acs:schedulerx3:*:*:cluster/xxljob-0pp1j8om80a",
"Effect": "Allow"
}
],
"Version": "1"
}Ganti xxljob-0pp1j8om80a dengan ID instans XXL-JOB Anda. Temukan ID instans di halaman Clusters di Konsol MSE.
Akses read-only ke instans tertentu
Memberikan akses read-only ke instans xxljob-0pp1j8om80a. Pengguna RAM dapat melihat kluster, aplikasi, pekerjaan, dan eksekusi. Tidak diperbolehkan membuat, mengubah, atau menjalankan pekerjaan.
{
"Statement": [
{
"Action": "schedulerx3:ListClusters",
"Resource": "acs:schedulerx3:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"schedulerx3:List*",
"schedulerx3:Get*"
],
"Resource": "acs:schedulerx3:*:*:cluster/xxljob-0pp1j8om80a",
"Effect": "Allow"
}
],
"Version": "1"
}Wildcard List* dan Get* mencakup semua aksi query. Aksi read-only baru yang ditambahkan di masa depan akan secara otomatis termasuk.
Akses read-only ke semua instans
Memberikan akses read-only ke setiap instans XXL-JOB di bawah akun tersebut. Wildcard cluster/* mencakup semua instans.
{
"Statement": [
{
"Action": "schedulerx3:ListClusters",
"Resource": "acs:schedulerx3:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"schedulerx3:List*",
"schedulerx3:Get*"
],
"Resource": "acs:schedulerx3:*:*:cluster/*",
"Effect": "Allow"
}
],
"Version": "1"
}Izin read-only CloudMonitor
XXL-JOB terintegrasi dengan CloudMonitor untuk statistik penjadwalan. Sambungkan kebijakan sistem read-only CloudMonitor ke pengguna RAM agar dasbor ditampilkan di halaman informasi dasar instans XXL-JOB.
Tanpa kebijakan ini, dasbor statistik penjadwalan akan disembunyikan:
Untuk menyambungkan kebijakan tersebut, buka Konsol RAM, temukan pengguna RAM target, pilih Permissions > Grant Permission, cari kebijakan read-only CloudMonitor, lalu sambungkan.