為RAM使用者授權執行個體系統管理權限 - E-MapReduce

為確保RAM使用者能正常使用EMR Serverless StarRocks控制台功能，您需要使用阿里雲帳號登入存取控制RAM（Resource Access Management）控制台，授予RAM使用者相應的許可權。

背景資訊

存取控制RAM是阿里雲提供的資源存取控制服務，詳情請參見什麼是存取控制。在EMR Serverless StarRocks中，RAM的典型使用情境如下：

使用者：如果您購買了EMR Serverless StarRocks執行個體，您的組織裡有多個使用者（例如營運、開發或資料分析）需要使用這些執行個體，您可以建立一個策略允許部分使用者使用這些執行個體。避免將同一個AccessKey泄露給多人。
使用者組：您可以建立多個使用者組，並授予不同的權限原則，實現批量系統管理使用者許可權。使用者組授權過程與授權使用者的過程相同。

系統策略/角色

EMR Serverless StarRocks使用的策略如下。

策略名稱稱	描述
AliyunEMRStarRocksFullAccess	EMR Serverless StarRocks管理員權限，包括所有操作和功能。
AliyunEMRStarRocksReadOnlyAccess	EMR Serverless StarRocks唯讀許可權。只有查看執行個體列表、查詢執行個體詳情的許可權，沒有建立、更新、修改執行個體的許可權。
AliyunBSSOrderAccess	在費用中心（BSS）查看、支付以及取消訂單的許可權。在管理主控台升級或降級執行個體的配置，以及為執行個體續約。
AliyunSLBFullAccess	管理負載平衡服務（SLB）的許可權。如果您要配置StarRocks公網或內網白名單，則需要擁有該許可權才能對SLB進行操作和管理。

EMR Serverless StarRocks使用的角色如下。
角色名稱
描述
AliyunEMRStarRocksAccessingOSSRole
EMR Serverless StarRocks使用此角色來訪問您在OSS產品中的資料。

使用Resource Access Management員登入RAM控制台。
在左側導覽列，選擇身份管理 > 使用者。
在使用者頁面，單擊目標RAM使用者操作列的添加許可權。
您也可以選中多個RAM使用者，單擊使用者列表下方的添加許可權，為RAM使用者大量授權。

在新增授權面板，根據需求選擇授權範圍、授權主體和許可權，為RAM使用者添加許可權。

參數	描述
資源範圍	帳號層級：許可權在當前阿里雲帳號內生效。資源群組層級：許可權在指定的資源群組內生效。
授權主體	需要授權的RAM使用者。
權限原則	在系統策略中，輸入StarRocks搜尋EMR Serverless StarRocks相關權限原則，然後單擊需要授予RAM使用者的權限原則，選擇該許可權。各權限原則的詳細說明，請參見權限原則/角色。

為什麼RAM使用者突然無法查看執行個體列表，提示需要授權？

問題描述：使用RAM使用者登入後，無法查看執行個體列表，系統提示需要授權。儘管RAM使用者已綁定AliyunServiceRoleForEMRStarRocks角色，且權限原則未發生變更，但功能仍不可用。
問題原因：
- 資源群組層級限制。
  RAM使用者當前綁定的AliyunEMRStarRocksReadOnlyAccess策略是以資源群組層級進行授權的，而新鑒權邏輯要求該策略為帳號層級。
- 服務關聯角色許可權不足。
  RAM使用者雖然綁定了AliyunServiceRoleForEMRStarRocks角色，但該角色的許可權範圍未覆蓋ram:GetRole介面的帳號層級鑒權需求。
解決方案：
- 調整現有策略為帳號層級。
- 新增帳號層級的自訂策略。
  如果無法調整現有策略，可以為RAM使用者額外綁定一個帳號層級的AliyunServiceRoleForEMRStarRocks策略，具體內容如下。
```
{
  "Action": ["ram:GetRole"],
  "Resource": "acs:ram:*:*:role/AliyunServiceRoleForEMRStarRocks",
  "Effect": "Allow"
}
```

角色名稱	描述
AliyunEMRStarRocksAccessingOSSRole	EMR Serverless StarRocks使用此角色來訪問您在OSS產品中的資料。