RAM ユーザーに Flink コンソールへのアクセスを安全に付与 - Realtime Compute for Apache Flink

Resource Access Management (RAM) ユーザーまたは RAM ロールを使用して Realtime Compute for Apache Flink コンソールにアクセスし、ワークスペースの表示、購入、削除などの操作を実行するには、必要な権限を付与する必要があります。セキュリティ上の理由から、Flink ワークスペースを購入した Alibaba Cloud アカウント管理者は、RAM コンソールですべてのプリンシパルに対して適切なアクセスポリシーをアタッチする必要があります。本トピックでは、サポートされるアクセスポリシーおよび具体的な権限付与設定について説明します。

権限付与の適用シナリオ

シナリオ

インターフェース

説明

Realtime Compute for Apache Flink コンソールにアクセスできない

ワークスペースに関する情報を一切表示できず、以下のエラーメッセージが表示されます。

このエラーは、Realtime Compute for Apache Flink コンソールへのアクセス権限がないことを示しています。ワークスペースを購入した Alibaba Cloud アカウント管理者に連絡し、ご利用のアカウントに Realtime Compute for Apache Flink の読み取り専用権限（AliyunStreamReadOnlyAccess）を最低限付与していただく必要があります。詳細については、「権限付与の手順」をご参照ください。権限付与が完了したら、ページを再読み込みするか、再度コンソールにアクセスしてください。

特定の操作を実行できない

このエラーは、現在のアカウントに当該操作を実行する権限がないことを示しています。操作を実行するには、ワークスペースを購入した Alibaba Cloud アカウント管理者に連絡し、要件に応じてカスタムポリシーを調整して権限付与を完了していただく必要があります。詳細については、「権限付与の手順」をご参照ください。たとえば、左側の図に示すように、ご利用のアカウントにはサブスクリプションワークスペース向けのリソース割り当てに関連する権限が必要です。

ポリシーの種類

アクセスポリシーとは、ポリシー構文および構造を用いて記述された一連の権限です。アクセスポリシーを使用すると、許可対象のリソースセット、操作セット、および権限付与条件を指定できます。RAM コンソールでは、以下の種類のアクセスポリシーがサポートされています。

システムポリシー：システムポリシーは Alibaba Cloud が作成したものであり、変更することはできませんが、利用可能です。Alibaba Cloud がこれらのポリシーのバージョン更新を管理します。以下に、Flink がサポートするシステムポリシーの一覧を示します。

アクセスポリシー	名称	説明
Realtime Compute for Apache Flink へのフルアクセス	AliyunStreamFullAccess	「カスタムポリシー」に記載されているすべての権限を含みます。
Realtime Compute for Apache Flink への読み取り専用アクセス	AliyunStreamReadOnlyAccess	「Realtime Compute for Apache Flink の権限ポリシー」に記載されている HasStreamDefaultRole 権限および、Describe、Query、Check、List、Get、Search で始まるすべての権限を含みます。
Fee Hub（BSS）における注文の表示および支払い権限	AliyunBSSOrderAccess	ユーザー中心での注文の表示および支払い権限です。
Fee Hub（BSS）における解約操作権限	AliyunBSSRefundAccess	ユーザーセンターで注文のサブスクリプションを解除する権限。

カスタムポリシー：カスタムポリシーの作成、更新、削除が可能です。カスタムポリシーのバージョン更新は、お客様自身で管理する必要があります。Flink がサポートするカスタムポリシーおよびその作成方法については、「Realtime Compute for Apache Flink の権限ポリシー」および「（任意）ステップ 1：カスタムポリシーの作成」をご参照ください。

前提条件

あなたは権限付与の手順に精通しています。

権限付与の手順

（任意）ステップ 1：カスタムポリシーの作成

AliyunStreamFullAccess システムポリシーを使用する場合は、本ステップをスキップできます。

カスタムポリシーを作成する際は、Realtime Compute for Apache Flink の読み取り専用権限をベースとして、必要に応じてより詳細なアクセス制御ポイントを追加することを推奨します。これらのアクセス制御ポイントには、「カスタムポリシー」および「関連プロダクトの権限操作」が含まれます。以下に、Realtime Compute for Apache Flink の読み取り専用権限を付与するカスタムポリシーの詳細を示します。権限範囲は、AliyunStreamReadOnlyAccess システムポリシーと同一です。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole"
      ],
       "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
      "Effect": "Allow"
    }
  ]
}

カスタムポリシーの作成方法およびサンプルについては、「カスタムポリシーの作成」および「カスタムポリシーのサンプル」をご参照ください。
アクセスポリシーにおいて、Action は操作を定義し、Resource は対象オブジェクトを定義し、Effect は操作の許可または拒否を定義します。アクセスポリシーの構文および構造の詳細については、「ポリシー要素」および「ポリシーの構造および構文」をご参照ください。ポリシー内のパラメーターは、実際の値に置き換えてください。以下の表に、各パラメーターの説明を示します。
- {#regionId}：対象 Flink ワークスペースが存在するリージョン。
- {#accountId}：Alibaba Cloud アカウントの UID。
- {#instanceId}：対象 Realtime Compute for Apache Flink 注文インスタンスの ID。
- {#namespace}：対象プロジェクトの名前。

ステップ 2：対象ポリシーをメンバーにアタッチ

アクセスポリシーを RAM ユーザーまたは RAM ロールにアタッチすることで、ポリシーで指定された権限を付与できます。本セクションでは、RAM ユーザーに対する権限付与方法について説明します。RAM ロールに対する権限付与手順も同様です。詳細については、「RAM ロールの管理」をご参照ください。

RAM コンソールに RAM 管理者としてログインします。
左側のナビゲーションウィンドウで、ID > ユーザー を選択します。
ユーザー ページで、目的の RAM ユーザーを見つけ、権限の追加 をクリックします（操作列）。
複数の RAM ユーザーを選択し、ページ下部の 権限の追加 をクリックすることで、一括で権限を付与することもできます。

権限の追加 パネルで、RAM ユーザーに権限を追加します。

パラメーター	説明
範囲	必要なアプリケーション範囲を選択します： Alibaba Cloud アカウント：権限は現在の Alibaba Cloud アカウント内で有効になります。特定のリソースグループ：権限は指定されたリソースグループ内で有効になります。
プリンシパル	権限を付与するプリンシパルです。値は、認証対象の RAM ユーザーです。システムが自動的に現在の RAM ユーザーを指定しますが、他の RAM ユーザーを追加することもできます。
アクセスポリシー	作成済みのシステムポリシーまたはカスタムポリシーを選択します。

新しい権限付与の確認 ボタンをクリックします。
閉じる をクリックします。

ステップ 3：権限付与後のコンソールへのログイン

権限付与が完了すると、RAM ユーザーまたは RAM ロールは Realtime Compute for Apache Flink コンソールにログインするか、現在のページをリフレッシュして関連操作を実行できます。

ログインタイプ	ログイン方法	ログイン手順
Alibaba Cloud RAM ユーザー	RAM ユーザーとしてログイン	RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする
Alibaba Cloud RAM ロール	Alibaba Cloud アカウント A の RAM ユーザーが、アカウント A のロールを偽装してログイン	RAM ロールを引き受ける
Alibaba Cloud RAM ロール	Alibaba Cloud アカウント B の RAM ユーザーが、アカウント A のロールを偽装してログイン	Alibaba Cloud アカウント間のリソースへのアクセス
リソースディレクトリのメンバー	管理アカウントの RAM ユーザーが、メンバーの RAM ロールを偽装してログイン	詳細については、「RAM ロールを偽装して Alibaba Cloud コンソールにログインする」をご参照ください。
	メンバーの RAM ユーザーとしてログイン	RAM ユーザーとして Alibaba Cloud 管理コンソールにログインする
	Alibaba Cloud アカウント（root ユーザー）としてログイン（推奨しません）	root ユーザーとして Alibaba Cloud 管理コンソールにログインする（推奨しません）
	CloudSSO ユーザーは、RAM ロールを引き受けることでログインします。	CloudSSO を使用して複数のエンタープライズアカウントにまたがる ID および権限を一元管理する
	CloudSSO ユーザーが RAM ユーザーとしてログイン	CloudSSO を使用して複数のエンタープライズアカウントにまたがる ID および権限を一元管理する

カスタムポリシーのサンプル

サンプル 1：RAM ユーザーによる Realtime Compute for Apache Flink ワークスペースの有効化

完全マネージドストレージおよび無料モニタリング機能を備えたサブスクリプション型 Realtime Compute for Apache Flink ワークスペースを RAM ユーザーが有効化できるようにするには、以下の権限を含むカスタムポリシーを作成・付与します。

Realtime Compute for Apache Flink の読み取り専用権限：stream:Describe*、stream:Query*、stream:Check*、stream:List*、stream:Get*、stream:Search*、および stream:HasStreamDefaultRole。
Realtime Compute for Apache Flink ワークスペースの購入権限：stream:CreateVvpInstance
Flink による既存 VPC のクエリ許可権限：vpc:DescribeVpcs
Flink による既存 vSwitch のクエリ許可権限：vpc:DescribeVSwitches
ユーザー中心における注文の表示および支払い権限：bss:DescribeOrderList、bss:DescribeOrderDetail、bss:PayOrder、および bss:CancelOrder

完全なカスタムポリシーは以下のとおりです。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:CreateVvpInstance",
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "bss:DescribeOrderList",
        "bss:DescribeOrderDetail",
        "bss:PayOrder",
        "bss:CancelOrder"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

サンプル 2：RAM ユーザーによる Realtime Compute for Apache Flink ワークスペースの有効化（既存のシステムポリシーあり）

RAM ユーザーがすでに AliyunStreamFullAccess システムポリシーを所有している場合でも、完全マネージドストレージおよび無料モニタリング機能を備えたサブスクリプション型 Realtime Compute for Apache Flink ワークスペースを有効化するために、RAM ユーザーにカスタムポリシーを作成・付与する必要があります。このカスタムポリシーには、以下の権限を含める必要があります。

Flink による既存 VPC のクエリ許可権限：vpc:DescribeVpcs
Flink による既存 vSwitch のクエリ許可権限：vpc:DescribeVSwitches
ユーザー中心における注文の表示および支払い権限：bss:DescribeOrderList、bss:DescribeOrderDetail、bss:PayOrder、および bss:CancelOrder

以下のコードに、完全なカスタムポリシーを示します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches",
        "bss:DescribeOrderList",
        "bss:DescribeOrderDetail",
        "bss:PayOrder",
        "bss:CancelOrder"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

サンプル 3：RAM ユーザーによるサブスクリプション型 Flink ワークスペースのリリース

RAM ユーザーがサブスクリプション型 Flink ワークスペースをリリースできるようにするには、以下の権限を含むカスタムポリシーを作成・付与します。

Realtime Compute for Apache Flink の読み取り専用権限：stream:Describe*、stream:Query*、stream:Check*、stream:List*、stream:Get*、stream:Search*、および stream:HasStreamDefaultRole。
ユーザー中心における注文の解約権限：bss:Describe* および bss:Refund*

以下のコードに、完全なカスタムポリシーを示します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "bss:Describe*",
        "bss:Refund*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

サンプル 4：RAM ユーザーによる従量課金型 Flink ワークスペースのリリース

RAM ユーザーが従量課金型 Flink ワークスペースをリリースできるようにするには、以下の権限を含むカスタムポリシーを作成・付与します。

Realtime Compute for Apache Flink の読み取り専用権限：stream:Describe*、stream:Query*、stream:Check*、stream:List*、stream:Get*、stream:Search*、および stream:HasStreamDefaultRole。
Flink ワークスペースのリリース権限：stream:DeleteVvpInstance

以下のコードに、完全なカスタムポリシーを示します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:DeleteVvpInstance"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

サンプル 5：RAM ユーザーによるプロジェクトへのリソース割り当て

RAM ユーザーを使用してサブスクリプション型 Realtime Compute for Apache Flink インスタンスをリリースするには、カスタムポリシーを作成・付与する必要があります。このカスタムポリシーには、以下の権限を含める必要があります。

Realtime Compute for Apache Flink の読み取り専用権限：stream:Describe*、stream:Query*、stream:Check*、stream:List*、stream:Get*、stream:Search*、および stream:HasStreamDefaultRole。
サブスクリプション型プロジェクトのリソース変更権限：ModifyVvpNamespaceSpec。

以下のコードに、完全なカスタムポリシーを示します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:Describe*",
        "stream:Query*",
        "stream:Check*",
        "stream:List*",
        "stream:Get*",
        "stream:Search*",
        "stream:HasStreamDefaultRole",
        "stream:ModifyVvpNamespaceSpec"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

カスタムポリシー

Realtime Compute for Apache Flink の権限ポリシー

重要

プロジェクトに対する権限を設定する前に、既存のワークスペースを表示する権限（DescribeVvpInstances）を設定する必要があります。設定しないと、権限エラーが発生します。

Flink ワークスペース

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:CreateVvpInstance",
        "stream:DescribeVvpInstances",
        "stream:DeleteVvpInstance",
        "stream:RenewVvpInstance",
        "stream:ModifyVvpPrepayInstanceSpec",
        "stream:ModifyVvpInstanceSpec",
        "stream:ConvertVvpInstance",
        "stream:QueryCreateVvpInstance",
        "stream:QueryRenewVvpInstance",
        "stream:QueryModifyVvpPrepayInstanceSpec",
        "stream:QueryConvertVvpInstance"
      ],
      "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}",
      "Effect": "Allow"
    }
  ]
}

操作	説明
CreateVvpInstance	Realtime Compute for Apache Flink ワークスペースの購入。
DescribeVvpInstances	ワークスペースの表示。
DeleteVvpInstance	Flink ワークスペースのリリース。
RenewVvpInstance	サブスクリプション型ワークスペースの更新。
ModifyVvpPrepayInstanceSpec	サブスクリプション型ワークスペースのスケーリング。
ModifyVvpInstanceSpec	従量課金型ワークスペースのクォータ調整。
ConvertVvpInstance	ワークスペースの課金方法の変更。
QueryCreateVvpInstance	ワークスペース作成時の価格照会。
QueryRenewVvpInstance	ワークスペース更新時の価格照会。
QueryModifyVvpPrepayInstanceSpec	ワークスペーススケーリング時の価格照会。
QueryConvertVvpInstance	従量課金からサブスクリプションへの課金方法変更時の価格照会。

説明

Realtime Compute for Apache Flink ワークスペースの購入およびワークスペースの表示を行う場合、"Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}" を "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/*" に変更できます。

Flink プロジェクト

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "stream:CreateVvpNamespace",
        "stream:DeleteVvpNamespace",
        "stream:ModifyVvpPrepayNamespaceSpec",
        "stream:ModifyVvpNamespaceSpec",
        "stream:DescribeVvpNamespaces"
      ],
       "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}",
      "Effect": "Allow"
    }
  ]
}

操作	説明
CreateVvpNamespace	プロジェクトの作成。
DeleteVvpNamespace	プロジェクトの削除。
ModifyVvpPrepayNamespaceSpec	サブスクリプション型プロジェクトのリソース変更。
ModifyVvpNamespaceSpec	従量課金型プロジェクトのリソース変更。
DescribeVvpNamespaces	プロジェクト一覧の表示。本ポリシーを設定後、対象ワークスペース ID の左側にあるアイコンをクリックすると、そのワークスペース内に作成されたプロジェクト一覧を表示できます。対象プロジェクトの開発コンソールに移動するには、プロジェクト内でのジョブ開発権限を付与する必要があります。詳細については、「開発コンソールの権限付与」をご参照ください。

説明

プロジェクトの作成およびプロジェクト一覧の表示を行う場合、"Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}", を "Resource": "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*", に変更できます。

関連プロダクトの権限操作

ECS 関連の権限操作

インターネット経由で開発コンソールにアクセスするには、Elastic IP Address（EIP）を有効化する必要があります。Virtual Private Cloud（VPC）内のリソースに接続するには、VPC 内に Elastic Network Interface（ENI）を作成する必要があります。これらの ENI は、サーバーレス Flink 専用のセキュリティグループに追加されます。この場合、Flink は EIP、セキュリティグループ、および ENI を操作するための権限を必要とします。

操作（Action）	説明
ecs:AssociateEipAddress	パブリックネットワーク経由で Flink サービスにアクセス可能な EIP アドレスを要求します。
ecs:AttachNetworkInterface	Flink サービスがお客様の ENI を Flink リソースプールにアタッチできるようにします。
ecs:AuthorizeSecurityGroup	Flink プロダクトが新しいセキュリティグループを作成します。この権限は、セキュリティグループにインバウンドルールを追加するために使用されます。
ecs:AuthorizeSecurityGroupEgress	Flink プロダクトが新しいセキュリティグループを作成します。この権限は、セキュリティグループにアウトバウンドルールを追加するために使用されます。
ecs:CreateNetworkInterface	Flink サービスがお客様の VPC 内に ENI を作成し、Flink サービスからお客様の VPC への接続をサポートできるようにします。
ecs:CreateNetworkInterfacePermission	Flink サービスが ENI に対する権限を付与できるようにします。
ecs:CreateSecurityGroup	Flink プロダクトが新しいセキュリティグループを作成します。この権限は、セキュリティグループの作成に使用されます。
ecs:DeleteNetworkInterface	Flink タスク完了後に、関連リソースの ENI を削除します。
ecs:DeleteNetworkInterfacePermission	Flink サービスがお客様の ENI をデタッチする権限を持つようにします。
ecs:DeleteSecurityGroup	Flink プロダクトが新しいセキュリティグループを作成します。この権限は、セキュリティグループの削除に使用されます。
ecs:DescribeNetworkInterfacePermissions	お客様の ENI をサーバーレス Flink リソースプールからデタッチできるようにします。
ecs:DescribeNetworkInterfaces	Flink サービスが ENI をクエリできるようにします。
ecs:DescribeSecurityGroupAttribute	Flink サービスがセキュリティグループのルールをクエリできるようにします。
ecs:DescribeSecurityGroupReferences	Flink サービスがセキュリティグループおよびセキュリティグループレベルの権限付与動作をクエリできるようにします。
ecs:DescribeSecurityGroups	Flink サービスが作成済みのセキュリティグループの基本情報をクエリできるようにします。
ecs:DetachNetworkInterface	Flink サービスがお客様の ENI を Flink リソースプールからデタッチできるようにします。
ecs:JoinSecurityGroup	Flink サービスが ENI を指定されたセキュリティグループに追加できるようにします。
ecs:LeaveSecurityGroup	Flink サービスが ENI を指定されたセキュリティグループから削除できるようにします。
ecs:ModifyNetworkInterfaceAttribute	Flink サービスが ENI の名前、説明、およびセキュリティグループを変更できるようにします。
ecs:ModifySecurityGroupAttribute	Flink サービスがセキュリティグループの名前または説明を変更できるようにします。
ecs:ModifySecurityGroupPolicy	Flink サービスがセキュリティグループ内の接続性ポリシーを変更できるようにします。
ecs:ModifySecurityGroupRule	Flink サービスがセキュリティグループのインバウンドルールの説明を変更できるようにします。
ecs:RevokeSecurityGroup	Flink がセキュリティグループのインバウンドルールを削除できるようにします。
ecs:RevokeSecurityGroupEgress	Flink がセキュリティグループのアウトバウンドルールを削除できるようにします。
ecs:UnassociateEipAddress	Flink サービスが EIP を解放できるようにします。

OSS 関連の権限操作

OSS バケット一覧を表示するには、必要な OSS 関連の権限を付与する必要があります。

操作（Action）	説明
oss:ListBuckets	Flink サービスが OSS バケット一覧を表示できるようにします。
oss:GetBucketInfo	バケットに関する情報を取得します。
oss:GetObjectMetadata	ファイルのメタデータを取得します。
oss:GetObject	ファイルを取得します。
oss:ListObjects	バケット内のすべてのオブジェクトに関する情報を一覧表示します。
oss:PutObject	ファイルをアップロードします。
oss:CopyObject	同一リージョン内のバケット間およびバケット内でのファイル（オブジェクト）のコピーが可能です。
oss:CompleteMultipartUpload	すべてのデータパートのアップロードが完了した後に、マルチパートアップロードを完了します。
oss:AbortMultipartUpload	マルチパートアップロードイベントをキャンセルし、対応するパートデータを削除します。
oss:InitiateMultipartUpload	マルチパートアップロードモードでデータ送信を開始する前に、OSS にマルチパートアップロードイベントの初期化を通知します。
oss:UploadPartCopy	既存のオブジェクトからデータをコピーしてパートをアップロードします。
oss:UploadPart	指定されたオブジェクト名およびアップロード ID に基づいて、パート単位でデータをアップロードします。
oss:DeleteObject	ファイル（オブジェクト）を削除します。
oss:PutBucketcors	指定されたバケットに対して、オリジン間リソース共有（CORS）ルールを設定します。
oss:GetBucketCors	指定されたバケットの現在の CORS ルールを取得します。
oss:PutBucket	バケットを作成します。

説明

OSS の Key Management Service（KMS）暗号化機能を使用する場合、AliyunStreamAsiDefaultRole ロールに KMS 関連のアクセスポリシーを追加する必要があります。これにより、機能を期待通りに使用できます。ポリシーの詳細については、「デフォルト暗号化が設定されたバケットへのファイルのアップロード」をご参照ください。

ARMS 関連の権限操作

Flink のメトリックは Application Real-Time Monitoring Service（ARMS）に保存されます。そのため、ARMS サービスが自動的に有効化されます。

操作（Action）	説明
arms:ListDashboards	ARMS ダッシュボード情報を表示します。
arms:CreateContact	連絡先を作成します。
arms:DeleteContact	連絡先を削除します。
arms:SearchContact	連絡先を検索します。
arms:UpdateContact	連絡先を更新します。
arms:CreateContactGroup	連絡先グループを作成します。
arms:DeleteContactGroup	連絡先グループを削除します。
arms:SearchContactGroup	連絡先グループを検索します。
arms:UpdateContactGroup	連絡先グループを更新します。
arms:SearchAlertRules	アラートルールを検索します。
arms:CreateAlertRules	アラートルールを作成します。
arms:UpdateAlertRules	アラートルールを更新します。
arms:DeleteAlertRules	アラートルールを削除します。
arms:StartAlertRule	アラートルールを開始します。
arms:StopAlertRule	アラートルールを一時停止します。
arms:SearchAlarmHistories	過去のアラート情報を表示します。
arms:OpenArmsService	ARMS サービスを有効化します。
arms:CreateWebhook	Webhook を作成します。
arms:UpdateWebhook	Webhook を更新します。
arms:CreateDispatchRule	スケジューリングルールを作成します。
arms:ListDispatchRule	スケジューリングルールの一覧を表示できます。
arms:DeleteDispatchRule	スケジューリングルールを削除します。
arms:UpdateDispatchRule	スケジューリングルールを更新します。
arms:DescribeDispatchRule	スケジューリングルールの詳細を表示します。
arms:GetAlarmHistories	アラート送信履歴を取得します。
arms:SaveAlert	アラートルールを保存します。
arms:DeleteAlert	アラートルールを削除します。
arms:GetAlert	アラートルールを取得します。
arms:CheckServiceStatus	サービスの有効化状況を確認します。
arms:InstallManagedPrometheus	マネージド Prometheus インスタンスを作成します。
arms:UninstallManagedPrometheus	マネージド Prometheus インスタンスをアンインストールします。
arms:GetManagedPrometheusStatus	マネージド Prometheus インスタンスのインストール状況を取得します。

VPC 関連の権限操作

Flink ワークスペースの有効化中に、VPC 内のリソースに対する Describe 権限が必要です。

操作（Action）	説明
vpc:DescribeVpcAttribute	Flink サービスが指定された VPC の構成情報をクエリできるようにします。
vpc:DescribeVpcs	Flink サービスが作成済みの VPC をクエリできるようにします。
vpc:DescribeVSwitchAttributes	Flink サービスが指定された vSwitch の情報をクエリできるようにします。
vpc:DescribeVSwitches	Flink サービスが作成済みの vSwitch をクエリできるようにします。
vpc:DescribeRouteTableList	Flink サービスがルートテーブルの一覧をクエリできるようにします。
vpc:DescribeRouteTables	Flink サービスが指定されたルートテーブルをクエリできるようにします。
vpc:DescribeRouteEntryList	Flink サービスがルートエントリの一覧をクエリできるようにします。
vpc:DescribeRouterInterfaceAttribute	Flink サービスがルーターインターフェースの構成をクエリできるようにします。
vpc:DescribeRouterInterfaces	Flink サービスがルーターインターフェースをクエリできるようにします。
vpc:DescribeVRouters	Flink サービスが指定されたリージョン内の vRouter の一覧をクエリできるようにします。
vpc:CreateVpc	VPC を作成します。
vpc:CreateVSwitch	vSwitch を作成します。

RAM 関連の権限操作

Flink ワークスペースの有効化中に、リソース構成のために RAM 関連の権限が必要です。

操作（Action）	説明
ram:*	ドメインおよびアプリケーションの RAM リソースを追加、削除、変更、およびクエリするための権限です。

TAG 関連の権限ポイント

操作（Action）	説明
tag:ListTagResources	リソースタグの一覧をクエリします。
tag:ListTagKeys	タグキーの一覧をクエリします。
tag:ListTagValues	指定されたタグキーに対応するタグ値をクエリします。

DLF 関連の権限操作

Flink ワークスペースの有効化中に、Data Lake Formation（DLF）関連のカタログにアクセスするために DLF 権限が必要です。

操作（Action）	説明
dlf:BatchCreatePartitions	複数のパーティションを一度に作成します。
dlf:BatchCreateTables	複数のテーブルを一度に作成します。
dlf:BatchDeletePartitions	複数のパーティションを一度に削除します。
dlf:BatchDeleteTables	複数のテーブルを一度に削除します。
dlf:BatchGetPartitions	複数のパーティションを一度に取得します。
dlf:BatchGetTables	複数のテーブルを一度に取得します。
dlf:BatchUpdatePartitions	複数のパーティションを一度に更新します。
dlf:BatchUpdateTables	複数のテーブルを一度に更新します。
dlf:CreateCatalog	データレイクカタログを作成します。
dlf:CreateDatabase	データベースを作成します。
dlf:CreateFunction	関数を作成します。
dlf:CreatePartition	パーティションを作成します。
dlf:CreateTable	テーブルを作成します。
dlf:DeleteCatalog	データレイクカタログを削除します。
dlf:DeleteDatabase	データベースを削除します。
dlf:DeleteFunction	関数を削除します。
dlf:DeletePartition	パーティションを削除します。
dlf:DeleteTable	テーブルを削除します。
dlf:GetAsyncTaskStatus	非同期タスクのステータスを取得します。
dlf:GetCatalog	データレイクカタログを取得します。
dlf:GetCatalogByInstanceId	インスタンス ID でカタログを取得します。
dlf:GetCatalogSettings	データレイクの構成を取得します。
dlf:GetDatabase	データベースを取得します。
dlf:GetFunction	関数を取得します。
dlf:GetPartition	パーティションを取得します。
dlf:GetTable	テーブルを取得します。
dlf:ListCatalogs	カタログの一覧を取得します。
dlf:ListDatabases	データベースの一覧を取得します。
dlf:ListFunctionNames	関数名の一覧を取得します。
dlf:ListFunctions	関数の一覧を取得します。
dlf:ListPartitionNames	パーティション名の一覧を取得します。
dlf:ListPartitions	パーティションの一覧を取得します。
dlf:ListPartitionsByExpr	式によってパーティションの一覧を取得します。
dlf:ListPartitionsByFilter	フィルターによってパーティションの一覧を取得します。
dlf:ListTableNames	テーブル名の一覧を取得します。
dlf:ListTables	テーブルの一覧を取得します。
dlf:RenamePartition	パーティションの名前を変更します。
dlf:RenameTable	テーブルの名前を変更します。
dlf:UpdateCatalog	データレイクカタログを更新します。
dlf:UpdateDatabase	データベースを更新します。
dlf:UpdateFunction	関数を更新します。
dlf:UpdateTable	テーブルを更新します。
dlf:BatchGetPartitionColumnStatistics	メタデータパーティションの統計情報を一度に取得します。
dlf:DeletePartitionColumnStatistics	メタデータテーブルパーティションの統計情報を削除します。
dlf:DeleteTableColumnStatistics	メタデータテーブルの統計情報を削除します。
dlf:GetPartitionColumnStatistics	メタデータパーティションフィールドの統計情報を取得します。
dlf:GetTableColumnStatistics	メタデータテーブルフィールドの統計情報を取得します。
dlf:UpdateTableColumnStatistics	メタデータテーブルの統計情報を更新します。
dlf:UpdatePartitionColumnStatistics	メタデータテーブルパーティションの統計情報を更新します。
dlf:CreateLock	メタデータロックを作成します。
dlf:UnLock	指定されたメタデータロックを解除します。
dlf:AbortLock	メタデータロックを中止します。
dlf:RefreshLock	メタデータロックを更新します。
dlf:GetLock	メタデータロックをクエリします。
dlf:GetCatalogAccessInfo	CatalogUuid を使用して、StorageName や StorageEndpoint などのバックエンドストレージ情報を取得します。
dlf:GetDataToken	UUID を使用して、カタログレベルまたはテーブルレベルのデータキーを取得します。
dlf:GetDataTokenByName	CatalogUuid、DatabaseName、TableName を使用して、カタログレベルまたはテーブルレベルのデータキーを取得します。
dlf-auth:ActOnBehalfOfAnotherUser	ID を引き継ぎます。サービスリンクロール（SLR）またはサービスロール（SR）が、他のユーザーに代わって DLF にアクセスします。
dlf:GrantPermissions	プリンシパルにリソースに対する権限を付与します。
dlf:RevokePermissions	プリンシパルからリソースに対する権限を剥奪します。
dlf:BatchGrantPermissions	権限を一括で付与します。
dlf:BatchRevokePermissions	権限を一括で剥奪します。
dlf:UpdatePermissions	プリンシパルのリソースに対する権限を更新します。
dlf:ListPermissions	指定されたリソースまたはプリンシパルの権限情報を取得します。
dlf:CreateRole	ロールを作成します。
dlf:UpdateRole	ロールを更新します。
dlf:DeleteRole	ロールを削除します。
dlf:GetRole	ロールを取得します。
dlf:ListRoles	ロールの一覧をクエリします。
dlf:GrantRolesToUser	指定されたユーザーに複数のロール権限を一度に付与します。
dlf:RevokeRolesFromUser	指定されたユーザーから複数のロール権限を一度に剥奪します。
dlf:GrantRoleToUsers	指定されたロール権限を複数のユーザーに一度に付与します。
dlf:RevokeRoleFromUsers	指定されたロール権限を複数のユーザーから一度に剥奪します。
dlf:UpdateRoleUsers	ロール内のユーザーを更新します。
dlf:ListRoleUsers	ロール内のユーザー一覧をクエリします。
dlf:ListUserRoles	ユーザーのロール一覧をクエリします。
dlf:GrantRolesToPrincipal	指定されたプリンシパルに複数のロール権限を一度に付与します。
dlf:RevokeRolesFromPrincipal	指定されたプリンシパルから複数のロール権限を一度に剥奪します。
dlf:GrantRoleToPrincipals	指定されたロール権限を複数のプリンシパルに一度に付与します。
dlf:RevokeRoleFromPrincipals	指定されたロール権限を複数のプリンシパルから一度に剥奪します。
dlf:UpdateRolePrincipals	ロール内のプリンシパルを更新します。
dlf:BatchDeleteRoles	複数のロールを一度に削除します。
dlf:CheckPermissions	権限をチェックします。
dlf:GetCatalogStorageStatistics	カタログ統計メトリックを取得します。
dlf:GetCatalogStorageIndicatorDetails	カタログメトリックの傾向を取得します。
dlf:GetCatalogStorageRank	カタログストレージ統計ランキングを取得します。
dlf:GetCatalogStorageAnalysis	カタログストレージ分布データを取得します。
dlf:GetDatabaseProfile	データベースのデータプロファイルを取得します。
dlf:GetDatabaseStorageAnalysis	データベースのストレージ分布データを取得します。
dlf:GetTableProfile	テーブルのデータプロファイルを取得します。
dlf:GetTableStorageAnalysis	テーブルのストレージ分布データを取得します。
dlf:ListPartitionProfiles	パーティションのデータプロファイル一覧を取得します。
dlf:getLatestStorageStatisticsDate	ストレージ概要データの最終更新日時を取得します。
dlf:SubscribeOptimize	最適化を依頼します。
dlf:GetOptimizeRegionStatus	最適化領域のステータスを取得します。
dlf:GetOptimizeWorkspaceAuthorization	最適化ワークスペースの認証を取得します。
dlf:AddOptimizeWorkspace	最適化ワークスペースを追加します。
dlf:ListOptimizeWorkspaces	最適化ワークスペースの一覧を取得します。
dlf:PreCheckOptimizeWorkspaceConnection	最適化ワークスペースの接続を事前チェックします。
dlf:CheckOptimizeWorkspaceConnection	最適化ワークスペースの接続をチェックします。
dlf:DeleteOptimizeWorkspace	最適化ワークスペースを削除します。
dlf:SetOptimizeEnable	ストレージ最適化スイッチを設定します。
dlf:SetOptimizePolicy	ストレージ最適化ポリシーを設定します。
dlf:GetOptimizePolicy	ストレージ最適化ポリシーを取得します。
dlf:SetOptimizeScheduleRule	ストレージ最適化のスケジューリングルールを追加します。
dlf:ListOptimizeScheduleRules	最適化スケジュールの一覧を取得します。
dlf:DeleteOptimizeScheduleRule	ストレージ最適化のスケジューリングルールを削除します。
dlf:RunOptimizeImmediately	ストレージ管理最適化を即時実行します。
dlf:GetOptimizeInfo	最適化情報を取得します。
dlf:UpdateOptimizeTaskResult	ストレージ最適化タスクの結果を更新します。
dlf:BatchDeleteTableVersions	Data Lake テーブルの指定バージョンを一度に削除します。
dlf:DeleteTableVersion	Data Lake テーブルの指定バージョンを削除します。
dlf:GetTableVersion	Data Lake テーブルの指定バージョンを取得します。
dlf:ListTableVersions	Data Lake テーブルの指定バージョンの一覧をページ単位でクエリします。
dlf:Search	メタデータを検索します。
dlf:SearchAcrossCatalog	カタログ間でデータベース、テーブル、フィールドなどのコンテンツを検索します。
dlf:GetServiceStatus	Data Lake Formation に対するユーザーのサービス有効化状況を取得します。
dlf:GetRegionStatus	指定されたリージョンにおける Data Lake Formation のサービス有効化状況を取得します。

参考情報

Flink で複数のユーザーがプロジェクトを共有し、Realtime Compute for Apache Flink 開発コンソールでジョブ開発や運用管理（O&M）などの操作を実行できるようにするには、プロジェクトに対する権限付与が必要です。詳細については、「開発コンソールの権限付与」をご参照ください。
詳細については、「サービス有効化時に RAM で [権限付与] をクリックした後に RAM コンソールに移動できないのはなぜですか？」をご参照ください。
詳細については、「Realtime Compute for Apache Flink コンソールにログインすると「現在のアカウントには必要な権限がありません」というメッセージが表示されるのはなぜですか？」をご参照ください。
詳細については、「RAM ユーザーに AliyunStreamFullAccess ポリシーをアタッチした後でもジョブが表示されないのはなぜですか？」をご参照ください。
詳細については、「ロールを誤って削除したり、権限付与ポリシーを変更して Realtime Compute for Apache Flink サービスが利用できなくなった場合、どうすればよいですか？」をご参照ください。
操作に必要な権限がない場合、ロール管理者に連絡するにはどうすればよいですか？