如果RAM用户需要对Flink全托管进行购买或资源调整等操作,则需要阿里云账号为该RAM用户授权。只有当RAM用户被阿里云账号授予相关的权限后,RAM用户才可以正常访问实时计算控制台,进行购买或者资源调整等操作。本文为您介绍如何为RAM用户授权。

背景信息

Flink全托管为您提供了以下三种权限策略,您可以根据业务情况为RAM用户选择适合的权限策略。
类别说明
AliyunStreamFullAccess(系统策略集合)包括权限列表中所有的权限。
AliyunStreamReadOnlyAccess(系统策略集合)只读访问流计算(Stream)服务,无法操作。仅包括权限列表中的DescribeInstances、QueryCreateInstancePrice、QueryRenewInstancePrice、QueryModifyInstancePrice、QueryConvertPostpayInstancePrice和DescribeNamespaces权限。
自定义策略您可以为RAM用户授予一个或多个不同的权限,实现灵活的细粒度权限管理。
  • 系统策略:统一由阿里云创建,您只能使用不能修改,策略的版本更新由阿里云维护。
  • 自定义策略:您可以自主创建、更新和删除,策略的版本更新由您自己维护。

前提条件

已创建RAM用户,如果您未创建RAM用户,请参见创建RAM用户

授权操作

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,为RAM用户添加权限。
    1. 选择授权应用范围。请选择为整个云账号
      • 整个云账号:权限在当前阿里云账号内生效。
      • 指定资源组:权限在指定的资源组内生效。
    2. 输入被授权主体。
      被授权主体即需要授权的RAM用户,系统会自动填入当前的RAM用户,您也可以添加其他RAM用户。
    3. 选择权限策略。
      • 系统策略
        系统策略页签,在文本框中输入stream后,单击对应的策略名称。系统策略
      • 自定义策略
        自定义策略创建步骤,请参见创建自定义权限策略自定义策略在使用自定义脚本时,需要将权限列表表格中的信息替换为您的实际权限信息。展示所有集群信息的策略脚本示例如下。
        {
    "Version": "1",
    "Statement": [
        {
            "Action": "stream:DescribeVvpInstances",
            "Resource": "acs:stream:cn-beijing:1838996687368452:vvpinstance/*",
            "Effect": "Allow"
        }
    ]
}
        说明 权限策略中Action表示要执行的操作,Resource表示要操作的对象,Effect表示授权效果是允许还是禁止。权限策略语法和结构的详情请参见权限策略语法和结构
  5. 单击确定
  6. 单击完成

权限列表

说明 您需要将策略内容中的以下参数替换为您的实际值。需要替换的参数如下:
  • {#regionId}:目标Flink全托管实例所在的地域。
  • {#accountId}:阿里云账号的uid。
  • {#instanceId}:目标Flink全托管的实例ID。
  • {#namespace}:目标工作空间的名称。
类别权限策略内容
Flink全托管实例新购Flink全托管实例
Action: "stream:CreateVvpInstance"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/*"
释放按量付费的Flink全托管实例
Action: "stream:DeleteVvpInstance"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}"
Flink全托管实例续费
Action: "stream:RenewVvpInstance"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}"
Flink全托管实例扩缩容
Action: "stream:ModifyVvpPrepayInstanceSpec"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}"
变更Flink全托管实例付费模式
Action: "stream:ConvertVvpInstance"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}"
查看Flink全托管实例
Action: "stream:DescribeVvpInstances"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/*"
查询Flink全托管实例创建价格
Action: "stream:QueryCreateVvpInstance"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/*"
查询Flink全托管实例续费价格
Action: "stream:QueryRenewVvpInstance"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}"
查询Flink全托管实例扩缩容价格
Action: "stream:QueryModifyVvpPrepayInstanceSpec"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}"
查询Flink全托管按量付费实例转包年包月价格
Action: "stream:QueryConvertVvpInstance"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#InstanceId}"
工作空间创建工作空间
Action: "stream:CreateVvpNamespace"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*"
删除工作空间
Action: "stream:DeleteVvpNamespace"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}"
变更工作空间资源
Action: "stream:ModifyVvpPrepayNamespaceSpec"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/{#namespace}"
查看工作空间
Action: "stream:DescribeVvpNamespaces"
Resource: "acs:stream:*:{#accountId}:vvpnamespace/{#InstanceId}"
Resource: "acs:stream:{#regionId}:{#accountId}:vvpinstance/{#instanceId}/vvpnamespace/*"
说明 查看工作空间的权限只能允许用户查看工作空间的信息。如果您希望进入某工作空间,则需要授权用户登录或进入该工作空间权限,详情请参见作业操作账号授权