XXL-JOB のジョブスケジューリングを管理する Resource Access Management (RAM) ユーザーには、2 種類の権限が必要です。
ジョブスケジューリング権限 -- XXL-JOB のクラスター、アプリケーション、ジョブ、および操作へのアクセスを制御します。
CloudMonitor の読み取り専用権限 -- XXL-JOB インスタンスページにスケジューリング統計ダッシュボードを表示します。
各 RAM ユーザーに両方の権限を付与してください。CloudMonitor の読み取り専用ポリシーがない場合、XXL-JOB インスタンスの基本情報ページにあるスケジューリング統計ダッシュボードは表示されません。
ジョブスケジューリング権限
XXL-JOB の権限は、システムポリシーまたはカスタムポリシーを使用して付与できます。
システムポリシー -- フルアクセスや読み取り専用アクセスなどの一般的なシナリオでは、RAM コンソールでシステムポリシーをアタッチします。詳細については、「RAM ユーザーへの権限付与」をご参照ください。
カスタムポリシー -- インスタンスレベルできめ細かい制御を行うには、カスタムポリシーを作成します。詳細については、「カスタムポリシーの例」をご参照ください。
権限範囲
XXL-JOB の権限には、2 つのレベルの範囲があります。
アカウントレベル -- すべてのリソースに適用されます。すべての RAM ユーザーが XXL-JOB コンソールにアクセスするためにこの権限が必要です。
インスタンスレベル -- 特定の XXL-JOB インスタンスに範囲が限定されます。これらを使用して、インスタンスごとにきめ細かいアクセス権を付与します。
アカウントレベルの権限
XXL-JOB にアクセスするすべての RAM ユーザーは、次の権限を持っている必要があります。この権限はグローバルに適用され、インスタンスによるフィルターはかかりません。
| アクション | 説明 | 読み取り専用 |
|---|---|---|
| ListClusters | クラスターの一覧表示 | はい |
インスタンスレベルの権限
各 RAM ユーザーの要件に応じて、これらの権限を選択的に付与します。各権限の範囲は、特定のインスタンスに限定されます。
クエリ
| アクション | 説明 | 読み取り専用 |
|---|---|---|
| ListAppNames | アプリケーション名の一覧表示 | はい |
| ListApps | アプリケーションの一覧表示 | はい |
| ListCalendarNames | カスタムカレンダー名の一覧表示 | はい |
| ListExecutors | エグゼキュータの一覧表示 | はい |
| ListJobs | ジョブの一覧表示 | はい |
| ListJobExecutions | ジョブ実行の一覧表示 | はい |
| ListScheduleTimes | 次の 5 回のスケジューリング時刻の一覧表示 | はい |
作成
| アクション | 説明 | 読み取り専用 |
|---|---|---|
| CreateCluster | クラスターの作成 | いいえ |
| CreateApp | XXL-JOB インスタンスでのアプリケーションの作成 | いいえ |
| CreateJob | XXL-JOB ジョブの作成 | いいえ |
更新
| アクション | 説明 | 読み取り専用 |
|---|---|---|
| UpdateCluster | クラスターの更新 | いいえ |
| UpdateApp | XXL-JOB インスタンスでのアプリケーションの更新 | いいえ |
| UpdateJob | XXL-JOB ジョブの更新 | いいえ |
削除
| アクション | 説明 | 読み取り専用 |
|---|---|---|
| DeleteCluster | クラスターの削除 | いいえ |
| DeleteApp | アプリケーションの削除 | いいえ |
| DeleteJobs | 複数のジョブの一括削除 | いいえ |
O&M 操作
| アクション | 説明 | 読み取り専用 |
|---|---|---|
| OperateDesignateExecutors | ジョブのエグゼキュータの指定 | いいえ |
| OperateDisableJobs | 複数のジョブの一括無効化 | いいえ |
| OperateEnableJobs | 複数のジョブの一括有効化 | いいえ |
| OperateExecuteJob | ジョブの単発実行 | いいえ |
| OperateRerunJob | 指定期間内のジョブの再実行 | いいえ |
| OperateRetryJobExecution | 失敗したジョブ実行の再試行 | いいえ |
| OperateStopJobExecution | 実行中のジョブ実行の停止 | いいえ |
カスタムポリシーの例
XXL-JOB は、サービス名前空間として schedulerx3 を使用します。リソース ARN は次のフォーマットに従います。
acs:schedulerx3:<region>:<account-id>:cluster/<instance-id>| ARN セグメント | 説明 | ワイルドカード |
|---|---|---|
<region> | リージョン ID、例:cn-hangzhou | * はすべてのリージョンに一致 |
<account-id> | Alibaba Cloud アカウント ID | * はすべてのアカウントに一致 |
<instance-id> | XXL-JOB インスタンス ID、例:xxljob-0pp1j8om80a | * はすべてのインスタンスに一致 |
たとえば、acs:schedulerx3:*:*:cluster/* は、すべてのリージョンおよびアカウントにわたるすべての XXL-JOB インスタンスに一致します。
すべてのカスタムポリシーには、2 つのステートメントが必要です。
アカウントレベルのステートメント -- すべてのリソース (
acs:schedulerx3:*:*:*) に対するListClusters権限を付与します。コンソールへのアクセスに必須です。インスタンスレベルのステートメント -- ターゲットインスタンスに対する特定のアクションを付与します。
カスタムポリシーを作成するには、RAM コンソールに移動します。[権限] > [ポリシー] > [ポリシーの作成] を選択し、[スクリプト] 編集モードを選択して、JSON を貼り付けます。
特定インスタンスへのフルアクセス
インスタンス xxljob-0pp1j8om80a のすべての操作に対する読み取りおよび書き込みアクセスを付与します。RAM ユーザーは、このインスタンスでジョブの作成、更新、削除、実行ができます。他のインスタンスにはアクセスできません。
{
"Statement": [
{
"Action": "schedulerx3:ListClusters",
"Resource": "acs:schedulerx3:*:*:*",
"Effect": "Allow"
},
{
"Action": "schedulerx3:*",
"Resource": "acs:schedulerx3:*:*:cluster/xxljob-0pp1j8om80a",
"Effect": "Allow"
}
],
"Version": "1"
}xxljob-0pp1j8om80a を XXL-JOB インスタンスの ID に置き換えます。インスタンス ID は、MSE コンソールの [Clusters] ページで確認します。
特定インスタンスへの読み取り専用アクセス
インスタンス xxljob-0pp1j8om80a への読み取り専用アクセスを付与します。RAM ユーザーは、クラスター、アプリケーション、ジョブ、および実行を閲覧できます。ジョブの作成、変更、実行は許可されません。
{
"Statement": [
{
"Action": "schedulerx3:ListClusters",
"Resource": "acs:schedulerx3:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"schedulerx3:List*",
"schedulerx3:Get*"
],
"Resource": "acs:schedulerx3:*:*:cluster/xxljob-0pp1j8om80a",
"Effect": "Allow"
}
],
"Version": "1"
}List* および Get* ワイルドカードは、すべてのクエリアクションに一致します。将来追加される新しい読み取り専用アクションも自動的に含まれます。
全インスタンスへの読み取り専用アクセス
アカウント配下のすべての XXL-JOB インスタンスへの読み取り専用アクセスを付与します。cluster/* ワイルドカードは、すべてのインスタンスに一致します。
{
"Statement": [
{
"Action": "schedulerx3:ListClusters",
"Resource": "acs:schedulerx3:*:*:*",
"Effect": "Allow"
},
{
"Action": [
"schedulerx3:List*",
"schedulerx3:Get*"
],
"Resource": "acs:schedulerx3:*:*:cluster/*",
"Effect": "Allow"
}
],
"Version": "1"
}CloudMonitor の読み取り専用権限
XXL-JOB は、スケジューリング統計のために CloudMonitor と統合されています。CloudMonitor の読み取り専用システムポリシーを RAM ユーザーにアタッチしてください。これにより、XXL-JOB インスタンスの基本情報ページにダッシュボードが表示されます。
このポリシーがない場合、スケジューリング統計ダッシュボードは表示されません。
ポリシーをアタッチするには、RAM コンソールに移動し、目的の RAM ユーザーを見つけ、[権限] > [権限の付与] を選択し、CloudMonitor の読み取り専用ポリシーを検索してアタッチします。