すべてのプロダクト
Search
ドキュメントセンター

Realtime Compute for Apache Flink:管理ポータルの権限

最終更新日:Jul 08, 2026

Realtime Compute for Apache Flink コンソールにアクセスし、ワークスペースの表示、購入、削除などの操作を行うには、RAM ユーザーと RAM ロールには必要なアクセス許可が必要です。Flink ワークスペースを所有する Alibaba Cloud アカウントの管理者は、RAM コンソールでポリシーをアタッチしてアクセス許可を付与します。

本トピックの対象者

Resource Access Management (RAM) の使用方法は、ロールによって異なります。

  • RAM ユーザー — Flink コンソールへのアクセス時、または操作の実行時に権限エラーが表示される場合は、Alibaba Cloud アカウントの管理者に連絡し、関連するポリシーを付与するよう依頼してください。必要な権限を確認するには、権限付与シナリオをご参照ください。

  • Alibaba Cloud アカウントの管理者 — ユーザーに必要なアクセスを判断したうえで、権限付与手順に従って適切なポリシーをアタッチします。

  • ポリシー作成者Realtime Compute for Apache Flink の権限ポリシー関連製品の権限操作からアクションを組み合わせて、カスタムポリシーを作成します。

権限付与シナリオ

シナリオ 説明
Realtime Compute for Apache Flink コンソールにアクセスできない ワークスペースに関する情報を一切表示できず、 Current account lacks permissions エラーが表示されます。エラーメッセージには、必要なアクション記述子 stream:ListRegionWithClusterQuantity とリソース記述子 acs:stream:*:<AccountID>:vvpinstance/* が、エラーコード 903065 とともに表示されます。これは、Flink コンソールにアクセスする権限がないことを示します。ワークスペースを購入した Alibaba Cloud アカウントの管理者に連絡し、アカウントに少なくとも読み取り専用権限 (AliyunStreamReadOnlyAccess) を付与するよう依頼してください。権限付与の手順をご参照ください。権限付与後、ページを再度開くか更新してください。
特定の操作を実行できない コンソールに Current account lacks permissions というダイアログボックスが表示されます。このダイアログボックスには、不足しているアクション記述子 (例:stream:ModifyVvpInstanceSpec) とリソース記述子が、エラーコード 401 とともに表示されます。[Error Details] を展開すると、リクエスト ID を確認できます。これは、現在のアカウントに当該操作を実行する権限がないことを示します。Alibaba Cloud アカウントの管理者に連絡し、要件に基づいてカスタムポリシーを調整するよう依頼してください。権限付与の手順をご参照ください。たとえば、サブスクリプションワークスペースに対してリソースを割り当てる必要がある場合、アカウントには対応するリソース割り当て権限を付与する必要があります。

ポリシータイプ

アクセスポリシーは、ポリシー構文と構造を使用してアクセス許可のセットを定義します。許可されたリソース、アクション、条件を指定します。RAM コンソールでは、2 種類のアクセスポリシーがサポートされています。

  • [システムポリシー]:Alibaba Cloud によって作成および管理されます。これらのポリシーは使用できますが、変更はできません。次の表に、Flink がサポートするシステムポリシーを示します。

    アクセスポリシー 名前 説明
    Realtime Compute for Apache Flink へのフルアクセス AliyunStreamFullAccess カスタムポリシー のすべてのアクセス許可が含まれます。
    Realtime Compute for Apache Flink への読み取り専用アクセス AliyunStreamReadOnlyAccess Realtime Compute for Apache Flinkアクセス許可ポリシー には、HasStreamDefaultRole アクセス許可と、DescribeQueryCheckListGetSearch で始まるすべてのアクセス許可が含まれます。
    ユーザーセンター (BSS) での注文の表示および支払い AliyunBSSOrderAccess ユーザーセンターで注文を表示および支払いするためのアクセス許可を付与します。
    ユーザーセンター (BSS) での注文のサブスクリプション解除 AliyunBSSRefundAccess ユーザーセンターで注文のサブスクリプション解除を行うためのアクセス許可を付与します。
  • [カスタムポリシー]:お客様が作成、更新、削除します。Flink がサポートするカスタムポリシーの詳細と作成方法については、「Realtime Compute for Apache Flinkアクセス許可ポリシー」および「(Optional) Step 1: Create a custom policy」をご参照ください。

前提条件

作業を開始する前に、以下を確認してください。

権限付与の手順

(オプション) ステップ 1: カスタムポリシーの作成

AliyunStreamFullAccess システムポリシーを使用する場合は、このステップをスキップしてください。

Realtime Compute for Apache Flink の読み取り専用権限セットから始め、必要に応じてきめ細かなアクセス制御ポイントを追加します。これらには、Realtime Compute for Apache Flink がサポートするカスタムポリシーおよび関連製品の権限操作が含まれます。

次のポリシーは、Realtime Compute for Apache Flink の読み取り専用権限を付与するもので、AliyunStreamReadOnlyAccess システムポリシーと同等です。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole"
      ],
      "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
      "Effect": "Allow"
    }
  ]
}

プレースホルダーを実際の値に置き換えてください。

プレースホルダー 説明
{#regionId} 対象の Flink ワークスペースが存在するリージョン
{#accountId} Alibaba Cloud アカウントの UID
{#instanceId} 対象の Realtime Compute for Apache Flink 注文インスタンスの ID
{#namespace} 対象プロジェクトの名前

アクセスポリシーでは、Action はアクションを、Resource は対象オブジェクトを、Effect はそのアクションを許可するか拒否するかを定義します。ポリシー構文の詳細については、「ポリシー要素」および「ポリシーの構造と構文」をご参照ください。

詳細な手順と例については、「カスタムポリシーの作成」および「カスタムポリシーの例」をご参照ください。

ステップ 2: メンバーへのポリシーのアタッチ

アクセスポリシーを RAM ユーザーまたは RAM ロールにアタッチして、指定された権限を付与します。以下の手順では、RAM ユーザーに権限を付与する方法を説明します。RAM ロールの手順も同様です。詳細については、「RAM ロールの管理」をご参照ください。

  1. RAM 管理者として RAM コンソールにログオンします。

  2. ナビゲーションペインで、[アイデンティティ] > [ユーザー] を選択します。

  3. [ユーザー] ページで、必要な RAM ユーザーを見つけ、[アクション] 列の [権限を追加] をクリックします。複数の RAM ユーザーに同じ権限を一度に付与するには、対象のユーザーを選択してページ下部の [権限を追加] をクリックします。

    image

  4. [権限を追加] パネルで、次のパラメータを設定します。

    パラメータ 説明
    [スコープ] 権限の適用範囲。[Alibaba Cloud アカウント] (現在のアカウント内で有効) または [特定のリソースグループ] (指定されたリソースグループ内で有効) のいずれかを選択します。
    [プリンシパル] 権限を付与する RAM ユーザーです。システムによって、現在の RAM ユーザーが自動的に選択されます。必要に応じて、他の RAM ユーザーを追加することもできます。
    [アクセスポリシー] システムポリシーまたは作成したカスタムポリシーを選択します。

    image

  5. [OK] をクリックします。

  6. [閉じる] をクリックします。

ステップ 3: 権限付与後のコンソールへのログオン

権限付与が完了すると、RAM ユーザーまたは RAM ロールは Realtime Compute for Apache Flink コンソールにログオンするか、現在のページを更新できます。

ログオンタイプ ログオン方法 参照
Alibaba Cloud RAM ユーザー RAM ユーザーとしてログオン RAM ユーザーとしての Alibaba Cloud 管理コンソールへのログイン
Alibaba Cloud RAM ロール アカウント A の RAM ユーザーがアカウント A のロールを引き受ける RAM ロールの引き受け
Alibaba Cloud RAM ロール アカウント B の RAM ユーザーがアカウント A のロールを引き受ける Alibaba Cloud アカウント間でのリソースアクセス
リソースディレクトリのメンバー 管理アカウントの RAM ユーザーがメンバーの RAM ロールを引き受ける RAM ロールを引き受けての Alibaba Cloud コンソールへのログオン
リソースディレクトリのメンバー メンバーの RAM ユーザーとしてログオン RAM ユーザーとしての Alibaba Cloud 管理コンソールへのサインイン
ルートユーザー (非推奨) Alibaba Cloud アカウントとしてログオン ルートユーザーとしての Alibaba Cloud 管理コンソールへのログイン
CloudSSO ユーザー RAM ロールを引き受けてログオン CloudSSO を使用した複数エンタープライズアカウント間でのアイデンティティと権限の一元管理
CloudSSO ユーザー RAM ユーザーとしてログオン

カスタムポリシーの例

以下の例はすべて同じパターンに従います。Realtime Compute for Apache Flink の読み取り専用権限をベースに、タスクに必要な特定のアクションを追加します。

例 1:RAM ユーザーによるサブスクリプションワークスペースの有効化

RAM ユーザーがフルマネージドストレージと無料モニタリングを使用するサブスクリプション Realtime Compute for Apache Flink ワークスペースを有効化できるようにするには、カスタムポリシーに次の権限を含めます。

  • Realtime Compute for Apache Flink の読み取り専用権限stream:Describe*stream:Query*stream:Check*stream:List*stream:Get*stream:Search*、および stream:HasStreamDefaultRole

  • ワークスペースを購入する権限stream:CreateVvpInstance

  • 既存の VPC を照会する権限vpc:DescribeVpcs

  • 既存の VSwitch を照会する権限vpc:DescribeVSwitches

  • ユーザーセンターで注文を閲覧および支払う権限bss:DescribeOrderListbss:DescribeOrderDetailbss:PayOrder、および bss:CancelOrder

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:CreateVvpInstance",
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "bss:DescribeOrderList",
        "bss:DescribeOrderDetail",
        "bss:PayOrder",
        "bss:CancelOrder"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

例 2:RAM ユーザーによるサブスクリプションワークスペースの有効化 (AliyunStreamFullAccess がアタッチ済みの場合)

RAM ユーザーが既に AliyunStreamFullAccess システムポリシーを持っている場合、フルマネージドストレージと無料モニタリングを使用するサブスクリプションワークスペースを有効化できるようにするには、次の権限を含むカスタムポリシーを追加します。

  • 既存の VPC を照会する権限vpc:DescribeVpcs

  • 既存の VSwitch を照会する権限vpc:DescribeVSwitches

  • ユーザーセンターで注文を閲覧および支払う権限bss:DescribeOrderListbss:DescribeOrderDetailbss:PayOrder、および bss:CancelOrder

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "bss:DescribeOrderList",
        "bss:DescribeOrderDetail",
        "bss:PayOrder",
        "bss:CancelOrder"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

例 3:RAM ユーザーによるサブスクリプションワークスペースの解放

RAM ユーザーがサブスクリプション Flink ワークスペースを解放できるようにするには、次の権限を含めます。

  • Realtime Compute for Apache Flink の読み取り専用権限stream:Describe*stream:Query*stream:Check*stream:List*stream:Get*stream:Search*、および stream:HasStreamDefaultRole

  • ユーザーセンターで注文を解約する権限bss:Describe* および bss:Refund*

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "bss:Describe*",
        "bss:Refund*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

例 4:RAM ユーザーによる従量課金ワークスペースの解放

RAM ユーザーが従量課金 Flink ワークスペースを解放できるようにするには、次の権限を含めます。

  • Realtime Compute for Apache Flink の読み取り専用権限stream:Describe*stream:Query*stream:Check*stream:List*stream:Get*stream:Search*、および stream:HasStreamDefaultRole

  • ワークスペースを解放する権限stream:DeleteVvpInstance

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:DeleteVvpInstance"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

例 5:RAM ユーザーによるプロジェクトへのリソース割り当て

RAM ユーザーがサブスクリプション Realtime Compute for Apache Flink プロジェクトにリソースを割り当てることができるようにするには、次の権限を含めます。

  • Realtime Compute for Apache Flink の読み取り専用権限stream:Describe*stream:Query*stream:Check*stream:List*stream:Get*stream:Search*、および stream:HasStreamDefaultRole

  • サブスクリプションプロジェクトのリソースを変更する権限stream:ModifyVvpNamespaceSpec

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:ModifyVvpNamespaceSpec"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

カスタムポリシー

Realtime Compute for Apache Flink 権限ポリシー

重要

プロジェクトの権限を設定する前に、まず DescribeVvpInstances 権限を設定してください。この権限がないと、ユーザーがワークスペースを表示しようとすると権限エラーが発生します。

Flink ワークスペース

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:CreateVvpInstance",
        "stream:DescribeVvpInstances",
        "stream:DeleteVvpInstance",
        "stream:RenewVvpInstance",
        "stream:ModifyVvpPrepayInstanceSpec",
        "stream:ModifyVvpInstanceSpec",
        "stream:ConvertVvpInstance",
        "stream:QueryCreateVvpInstance",
        "stream:QueryRenewVvpInstance",
        "stream:QueryModifyVvpPrepayInstanceSpec",
        "stream:QueryConvertVvpInstance"
      ],
      "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}",
      "Effect": "Allow"
    }
  ]
}
アクション 説明
CreateVvpInstance Realtime Compute for Apache Flink ワークスペースを購入します。
DescribeVvpInstances ワークスペースを表示します。
DeleteVvpInstance Flink ワークスペースをリリースします。
RenewVvpInstance サブスクリプションワークスペースを更新します。
ModifyVvpPrepayInstanceSpec サブスクリプションワークスペースをスケールします。
ModifyVvpInstanceSpec 従量課金ワークスペースのクォータを調整します。
ConvertVvpInstance ワークスペースの課金方法を変更します。
QueryCreateVvpInstance ワークスペース作成の料金を照会します。
QueryRenewVvpInstance ワークスペース更新の料金を照会します。
QueryModifyVvpPrepayInstanceSpec ワークスペーススケールの料金を照会します。
QueryConvertVvpInstance 従量課金からサブスクリプションへの課金方法変更の料金を照会します。
ワークスペースを購入および表示するには、"Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}""Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*" に変更します。

Flink プロジェクト

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:CreateVvpNamespace",
        "stream:DeleteVvpNamespace",
        "stream:ModifyVvpPrepayNamespaceSpec",
        "stream:ModifyVvpNamespaceSpec",
        "stream:DescribeVvpNamespaces"
      ],
      "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
      "Effect": "Allow"
    }
  ]
}
アクション 説明
CreateVvpNamespace プロジェクトを作成します。
DeleteVvpNamespace プロジェクトを削除します。
ModifyVvpPrepayNamespaceSpec サブスクリプションプロジェクトのリソースを変更します。
ModifyVvpNamespaceSpec 従量課金プロジェクトのリソースを変更します。
DescribeVvpNamespaces プロジェクトのリストを表示します。このポリシーを設定すると、対象のワークスペース ID の左側にある展開アイコンをクリックして、ワークスペース内のプロジェクトのリストを表示できます。対象プロジェクトの開発コンソールにアクセスするには、そのプロジェクトでジョブを開発する権限も必要です。詳細については、「開発コンソールの認可」をご参照ください。
プロジェクトを作成および表示するには、"Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}""Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*" に変更します。

関連製品における権限の操作

ECS

インターネットから開発コンソールにアクセスするには、Elastic IP アドレス (EIP) を有効化する必要があります。Virtual Private Cloud (VPC) 内のリソースに接続するため、Flink はお客様の VPC 内に Elastic Network Interface (ENI) を作成し、サーバーレス Flink 専用のセキュリティグループに追加します。Flink がこれらのリソースを管理するには、次の ECS 権限が必要です。

アクション 説明
ecs:AssociateEipAddress パブリックネットワーク経由で Flink サービスにアクセスするための EIP アドレスをリクエストします。
ecs:AttachNetworkInterface お客様の ENI を Flink リソースプールにアタッチします。
ecs:AuthorizeSecurityGroup Flink が作成するセキュリティグループにインバウンドルールを追加します。
ecs:AuthorizeSecurityGroupEgress Flink が作成するセキュリティグループにアウトバウンドルールを追加します。
ecs:CreateNetworkInterface Flink からお客様の VPC に接続するため、お客様の VPC 内に ENI を作成します。
ecs:CreateNetworkInterfacePermission ENI に対する権限を Flink サービスに付与します。
ecs:CreateSecurityGroup Flink が使用するセキュリティグループを作成します。
ecs:DeleteNetworkInterface Flink タスク完了後、関連リソースの ENI を削除します。
ecs:DeleteNetworkInterfacePermission Flink サービスがお客様の ENI をデタッチできるようにします。
ecs:DeleteSecurityGroup Flink が作成したセキュリティグループを削除します。
ecs:DescribeNetworkInterfacePermissions お客様の ENI をサーバーレス Flink リソースプールからデタッチできるようにします。
ecs:DescribeNetworkInterfaces ENI を照会します。
ecs:DescribeSecurityGroupAttribute セキュリティグループのルールを照会します。
ecs:DescribeSecurityGroupReferences セキュリティグループ、およびセキュリティグループレベルでの認可動作を照会します。
ecs:DescribeSecurityGroups 作成されたセキュリティグループの基本情報を照会します。
ecs:DetachNetworkInterface お客様の ENI を Flink リソースプールからデタッチします。
ecs:JoinSecurityGroup ENI を指定されたセキュリティグループに追加します。
ecs:LeaveSecurityGroup ENI を指定されたセキュリティグループから削除します。
ecs:ModifyNetworkInterfaceAttribute ENI の名前、説明、およびセキュリティグループを変更します。
ecs:ModifySecurityGroupAttribute セキュリティグループの名前または説明を変更します。
ecs:ModifySecurityGroupPolicy セキュリティグループ内の接続ポリシーを変更します。
ecs:ModifySecurityGroupRule インバウンドセキュリティグループルールの説明を変更します。
ecs:RevokeSecurityGroup インバウンドセキュリティグループルールを削除します。
ecs:RevokeSecurityGroupEgress アウトバウンドセキュリティグループルールを削除します。
ecs:UnassociateEipAddress EIP を解放します。

OSS

OSS バケットのリストを表示するには、以下の OSS 許可が必要です。

アクション 説明
oss:ListBuckets OSS バケットを一覧表示します。
oss:GetBucketInfo バケットの情報を取得します。
oss:GetObjectMetadata ファイルのメタデータを取得します。
oss:GetObject ファイルを取得します。
oss:ListObjects バケット内のすべてのオブジェクトを一覧表示します。
oss:PutObject ファイルをアップロードします。
oss:CopyObject 同一リージョン内のバケット内およびバケット間でファイル (オブジェクト) をコピーします。
oss:CompleteMultipartUpload すべてのパートがアップロードされた後、ファイルのマルチパートアップロードを完了します。
oss:AbortMultipartUpload マルチパートアップロード イベントをキャンセルし、対応するパート データを削除します。
oss:InitiateMultipartUpload データ送信前にマルチパートアップロード イベントを初期化します。
oss:UploadPartCopy 既存のオブジェクトからデータをコピーしてパートをアップロードします。
oss:UploadPart 指定されたオブジェクト名とアップロード ID に基づいて、データをパートとしてアップロードします。
oss:DeleteObject ファイル (オブジェクト) を削除します。
oss:PutBucketCors 指定されたバケットにクロスオリジンリソース共有 (CORS) ルールを設定します。
oss:GetBucketCors 指定されたバケットの現在の CORS ルールを取得します。
oss:PutBucket バケットを作成します。
OSS の Key Management Service (KMS) 暗号化機能を使用する場合は、KMS 関連のアクセスポリシーを AliyunStreamAsiDefaultRole ロールに追加してください。 詳細については、「デフォルト暗号化が設定されたバケットへのファイルのアップロード」をご参照ください。

Application Real-Time Monitoring Service (ARMS)

Flink のメトリクスは Application Real-Time Monitoring Service (ARMS) に保存されます。ARMS は Flink の使用時に自動的に有効化されます。

アクション 説明
arms:ListDashboards ARMS ダッシュボードの情報を表示します。
arms:CreateContact 連絡先を作成します。
arms:DeleteContact 連絡先を削除します。
arms:SearchContact 連絡先を検索します。
arms:UpdateContact 連絡先を更新します。
arms:CreateContactGroup 連絡先グループを作成します。
arms:DeleteContactGroup 連絡先グループを削除します。
arms:SearchContactGroup 連絡先グループを検索します。
arms:UpdateContactGroup 連絡先グループを更新します。
arms:SearchAlertRules アラートルールを検索します。
arms:CreateAlertRules アラートルールを作成します。
arms:UpdateAlertRules アラートルールを更新します。
arms:DeleteAlertRules アラートルールを削除します。
arms:StartAlertRule アラートルールを開始します。
arms:StopAlertRule アラートルールを一時停止します。
arms:SearchAlarmHistories アラーム履歴を検索します。
arms:OpenArmsService ARMS サービスを有効化します。
arms:CreateWebhook Webhook を作成します。
arms:UpdateWebhook Webhook を更新します。
arms:CreateDispatchRule スケジューリングルールを作成します。
arms:ListDispatchRule スケジューリングルールを一覧表示します。
arms:DeleteDispatchRule スケジューリングルールを削除します。
arms:UpdateDispatchRule スケジューリングルールを更新します。
arms:DescribeDispatchRule スケジューリングルールの詳細を表示します。
arms:GetAlarmHistories アラーム履歴を取得します。
arms:SaveAlert アラートルールを保存します。
arms:DeleteAlert アラートルールを削除します。
arms:GetAlert アラートルールを取得します。
arms:CheckServiceStatus サービスの有効状態を確認します。
arms:InstallManagedPrometheus マネージド Prometheus インスタンスをインストールします。
arms:UninstallManagedPrometheus マネージド Prometheus インスタンスをアンインストールします。
arms:GetManagedPrometheusStatus マネージド Prometheus インスタンスのインストール状態を取得します。

VPC

ワークスペースの有効化時に VPC リソースを照会および作成するには、次の VPC 許可が必要です。

アクション 説明
vpc:DescribeVpcAttribute 指定された VPC の構成を照会します。
vpc:DescribeVpcs 作成済みの VPC を照会します。
vpc:DescribeVSwitchAttributes 指定された vSwitch に関する情報を照会します。
vpc:DescribeVSwitches 作成済みの vSwitch を照会します。
vpc:DescribeRouteTableList ルートテーブルのリストを照会します。
vpc:DescribeRouteTables 作成済みのルートテーブルを照会します。
vpc:DescribeRouteEntryList ルートエントリのリストを照会します。
vpc:DescribeRouterInterfaceAttribute ルーターインターフェイスの構成を照会します。
vpc:DescribeRouterInterfaces ルーターインターフェイスを照会します。
vpc:DescribeVRouters 指定されたリージョン内の vRouter のリストを照会します。
vpc:CreateVpc VPC を作成します。
vpc:CreateVSwitch vSwitch を作成します。

RAM

ワークスペースを有効化する際のリソース構成には、次の RAM 権限が必要です。

アクション 説明
ram:* ドメインおよびアプリケーション RAM リソースの追加、削除、変更、照会

タグ

アクション 説明
tag:ListTagResources リソースタグのリストを照会します。
tag:ListTagKeys タグキーのリストを照会します。
tag:ListTagValues 指定したタグキーのタグ値を照会します。

Data Lake Formation (DLF)

ワークスペースの有効化中に DLF 関連のカタログへアクセスするには、次の Data Lake Formation (DLF) 権限が必要です。

Action 説明
dlf:BatchCreatePartitions 複数のパーティションを一括で作成します。
dlf:BatchCreateTables 複数のテーブルを一括で作成します。
dlf:BatchDeletePartitions 複数のパーティションを一括で削除します。
dlf:BatchDeleteTables 複数のテーブルを一括で削除します。
dlf:BatchGetPartitions 複数のパーティションを一括で取得します。
dlf:BatchGetTables 複数のテーブルを一括で取得します。
dlf:BatchUpdatePartitions 複数のパーティションを一括で更新します。
dlf:BatchUpdateTables 複数のテーブルを一括で更新します。
dlf:CreateCatalog データレイクカタログを作成します。
dlf:CreateDatabase データベースを作成します。
dlf:CreateFunction 関数を作成します。
dlf:CreatePartition パーティションを作成します。
dlf:CreateTable テーブルを作成します。
dlf:DeleteCatalog データレイクカタログを削除します。
dlf:DeleteDatabase データベースを削除します。
dlf:DeleteFunction 関数を削除します。
dlf:DeletePartition パーティションを削除します。
dlf:DeleteTable テーブルを削除します。
dlf:GetAsyncTaskStatus 非同期タスクのステータスを取得します。
dlf:GetCatalog データレイクカタログを取得します。
dlf:GetCatalogByInstanceId インスタンス ID を指定してカタログを取得します。
dlf:GetCatalogSettings データレイクの設定を取得します。
dlf:GetDatabase データベースを取得します。
dlf:GetFunction 関数を取得します。
dlf:GetPartition パーティションを取得します。
dlf:GetTable テーブルを取得します。
dlf:ListCatalogs カタログのリストを取得します。
dlf:ListDatabases データベースのリストを取得します。
dlf:ListFunctionNames 関数名のリストを取得します。
dlf:ListFunctions 関数のリストを取得します。
dlf:ListPartitionNames パーティション名のリストを取得します。
dlf:ListPartitions パーティションのリストを取得します。
dlf:ListPartitionsByExpr 式によってパーティションのリストを取得します。
dlf:ListPartitionsByFilter フィルターによってパーティションのリストを取得します。
dlf:ListTableNames テーブル名のリストを取得します。
dlf:ListTables テーブルのリストを取得します。
dlf:RenamePartition パーティションの名前を変更します。
dlf:RenameTable テーブルの名前を変更します。
dlf:UpdateCatalog データレイクカタログを更新します。
dlf:UpdateDatabase データベースを更新します。
dlf:UpdateFunction 関数を更新します。
dlf:UpdateTable テーブルを更新します。
dlf:BatchGetPartitionColumnStatistics メタデータパーティションの統計情報を一括で取得します。
dlf:DeletePartitionColumnStatistics メタデータテーブルパーティションの統計情報を削除します。
dlf:DeleteTableColumnStatistics メタデータテーブルの統計情報を削除します。
dlf:GetPartitionColumnStatistics メタデータパーティションフィールドの統計情報を取得します。
dlf:GetTableColumnStatistics メタデータテーブルフィールドの統計情報を取得します。
dlf:UpdateTableColumnStatistics メタデータテーブルの統計情報を更新します。
dlf:UpdatePartitionColumnStatistics メタデータテーブルパーティションの統計情報を更新します。
dlf:CreateLock メタデータロックを作成します。
dlf:UnLock 指定したメタデータロックをロック解除します。
dlf:AbortLock メタデータロックを中止します。
dlf:RefreshLock メタデータロックを更新します。
dlf:GetLock メタデータロックを照会します。
dlf:GetCatalogAccessInfo CatalogUuid を使用して、StorageName や StorageEndpoint などのバックエンドストレージ情報を取得します。
dlf:GetDataToken UUID を使用して、カタログレベルまたはテーブルレベルのデータキーを取得します。
dlf:GetDataTokenByName CatalogUuid、DatabaseName、TableName を使用して、カタログレベルまたはテーブルレベルのデータキーを取得します。
dlf-auth:ActOnBehalfOfAnotherUser アイデンティティをパススルーします。サービスリンクロール (SLR) またはサービスロール (SR) が、別のユーザーに代わって DLF にアクセスします。
dlf:GrantPermissions プリンシパルに対して、リソースの権限を付与します。
dlf:RevokePermissions プリンシパルから、リソースの権限を取り消します。
dlf:BatchGrantPermissions 権限を一括で付与します。
dlf:BatchRevokePermissions 権限を一括で取り消します。
dlf:UpdatePermissions プリンシパルのリソースに対する権限を更新します。
dlf:ListPermissions 指定したリソースまたはプリンシパルの権限情報を取得します。
dlf:CreateRole ロールを作成します。
dlf:UpdateRole ロールを更新します。
dlf:DeleteRole ロールを削除します。
dlf:GetRole ロールを取得します。
dlf:ListRoles ロールのリストを照会します。
dlf:GrantRolesToUser 指定したユーザーに対して、複数のロール権限を一括で付与します。
dlf:RevokeRolesFromUser 指定したユーザーから、複数のロール権限を一括で取り消します。
dlf:GrantRoleToUsers 指定したロール権限を、複数のユーザーに一括で付与します。
dlf:RevokeRoleFromUsers 指定したロール権限を、複数のユーザーから一括で取り消します。
dlf:UpdateRoleUsers ロール内のユーザーを更新します。
dlf:ListRoleUsers ロール内のユーザーのリストを照会します。
dlf:ListUserRoles ユーザーロールのリストを照会します。
dlf:GrantRolesToPrincipal 指定したプリンシパルに対して、複数のロール権限を一括で付与します。
dlf:RevokeRolesFromPrincipal 指定したプリンシパルから、複数のロール権限を一括で取り消します。
dlf:GrantRoleToPrincipals 指定したロール権限を、複数のプリンシパルに一括で付与します。
dlf:RevokeRoleFromPrincipals 指定したロール権限を、複数のプリンシパルから一括で取り消します。
dlf:UpdateRolePrincipals ロール内のプリンシパルを更新します。
dlf:BatchDeleteRoles 複数のロールを一括で削除します。
dlf:CheckPermissions 権限を確認します。
dlf:GetCatalogStorageStatistics カタログのストレージ統計情報を取得します。
dlf:GetCatalogStorageIndicatorDetails カタログのメトリクスの傾向を取得します。
dlf:GetCatalogStorageRank カタログのストレージ統計情報のランキングを取得します。
dlf:GetCatalogStorageAnalysis カタログのストレージ分布データを取得します。
dlf:GetDatabaseProfile データベースのデータプロファイルを取得します。
dlf:GetDatabaseStorageAnalysis データベースのストレージ分布データを取得します。
dlf:GetTableProfile テーブルのデータプロファイルを取得します。
dlf:GetTableStorageAnalysis テーブルのストレージ分布データを取得します。
dlf:ListPartitionProfiles パーティションのデータプロファイルのリストを取得します。
dlf:getLatestStorageStatisticsDate ストレージ概要データの最終更新時刻を取得します。
dlf:SubscribeOptimize 最適化を申請します。
dlf:GetOptimizeRegionStatus 最適化リージョンのステータスを取得します。
dlf:GetOptimizeWorkspaceAuthorization 最適化ワークスペースの認証を取得します。
dlf:AddOptimizeWorkspace 最適化ワークスペースを追加します。
dlf:ListOptimizeWorkspaces 最適化ワークスペースのリストを取得します。
dlf:PreCheckOptimizeWorkspaceConnection 最適化ワークスペースの接続を事前チェックします。
dlf:CheckOptimizeWorkspaceConnection 最適化ワークスペースの接続をチェックします。
dlf:DeleteOptimizeWorkspace 最適化ワークスペースを削除します。
dlf:SetOptimizeEnable ストレージ最適化スイッチを設定します。
dlf:SetOptimizePolicy ストレージ最適化ポリシーを設定します。
dlf:GetOptimizePolicy ストレージ最適化ポリシーを取得します。
dlf:SetOptimizeScheduleRule ストレージ最適化のスケジューリングルールを追加します。
dlf:ListOptimizeScheduleRules 最適化スケジューリングルールのリストを取得します。
dlf:DeleteOptimizeScheduleRule ストレージ最適化のスケジューリングルールを削除します。
dlf:RunOptimizeImmediately ストレージ最適化を直ちに実行します。
dlf:GetOptimizeInfo 最適化情報を取得します。
dlf:UpdateOptimizeTaskResult ストレージ最適化タスクの結果を更新します。
dlf:BatchDeleteTableVersions Data Lake テーブルの指定したバージョンを一括で削除します。
dlf:DeleteTableVersion Data Lake テーブルの指定したバージョンを削除します。
dlf:GetTableVersion Data Lake テーブルの指定したバージョンを取得します。
dlf:ListTableVersions Data Lake テーブルの指定したバージョンのリストをページ単位で照会します。
dlf:Search メタデータを取得します。
dlf:SearchAcrossCatalog カタログをまたいで、データベース、テーブル、フィールドなどのコンテンツを検索します。
dlf:GetServiceStatus ユーザーの Data Lake Formation サービス有効化ステータスを取得します。
dlf:GetRegionStatus 指定したリージョンにおける Data Lake Formation のサービス有効化ステータスを取得します。

次のステップ