項(xiàng)目空間授權(quán)
當(dāng)希望多個(gè)用戶(hù)能夠共同使用Flink下的某項(xiàng)目空間,在Flink開(kāi)發(fā)控制臺(tái)進(jìn)行作業(yè)開(kāi)發(fā)、運(yùn)維等相關(guān)操作時(shí),需要通過(guò)添加成員并為成員綁定角色的方式完成項(xiàng)目空間授權(quán)。同時(shí),為了提供更加靈活和安全的權(quán)限管理機(jī)制,支持根據(jù)實(shí)際業(yè)務(wù)需要添加自定義角色,以滿足不同權(quán)限的需要。本文為您介紹如何添加角色、添加成員并為成員綁定不同角色。
權(quán)限問(wèn)題指引
進(jìn)入實(shí)時(shí)計(jì)算開(kāi)發(fā)控制臺(tái)后,無(wú)法訪問(wèn)當(dāng)前項(xiàng)目空間,并提示當(dāng)前賬號(hào)下無(wú)可用的項(xiàng)目空間。
說(shuō)明無(wú)當(dāng)前項(xiàng)目空間權(quán)限。您需要聯(lián)系該項(xiàng)目空間具有owner角色的成員或具有成員管理相關(guān)權(quán)限的成員,按照成員管理進(jìn)行授權(quán)。授權(quán)后,重新進(jìn)入或刷新頁(yè)面即可訪問(wèn)。
不具有某個(gè)功能使用或操作權(quán)限。例如,無(wú)法部署作業(yè)、無(wú)法啟停作業(yè)等。
說(shuō)明當(dāng)前賬號(hào)無(wú)對(duì)應(yīng)操作權(quán)限。您可以在的角色管理頁(yè)簽查看不同角色擁有的權(quán)限以及擁有該角色的成員,然后聯(lián)系具有owner角色的成員或具有角色管理相關(guān)權(quán)限的成員,為您授予對(duì)應(yīng)權(quán)限。更多關(guān)于角色及角色權(quán)限依賴(lài)信息請(qǐng)參見(jiàn)角色管理。
成員管理
添加成員
具有創(chuàng)建成員權(quán)限(例如owner)的成員登錄Flink開(kāi)發(fā)控制臺(tái)。
在頁(yè)面頂部,選擇目標(biāo)項(xiàng)目空間名稱(chēng)。
單擊左側(cè)導(dǎo)航欄的,單擊成員管理頁(yè)簽。
單擊添加成員,添加成員并為成員選擇角色。
選擇RAM賬號(hào):顯示本項(xiàng)目空間對(duì)應(yīng)阿里云賬號(hào)下已創(chuàng)建的RAM用戶(hù)和RAM角色,支持批量選擇進(jìn)行授權(quán)。
手動(dòng)添加賬號(hào):您可以手動(dòng)輸入其他的阿里云賬號(hào)ID、RAM用戶(hù)ID、RAM角色I(xiàn)D,進(jìn)行授權(quán)。
說(shuō)明ID的查看方法請(qǐng)參見(jiàn)查看賬號(hào)ID、 RAM用戶(hù)ID和RAM角色I(xiàn)D。
角色:支持選擇系統(tǒng)角色和自定義角色。您可以在角色管理頁(yè)簽,單擊目標(biāo)角色操作列下的查看權(quán)限,查看對(duì)應(yīng)角色擁有的權(quán)限。
單擊確定。
授權(quán)后的成員,即可通過(guò)目標(biāo)項(xiàng)目空間URL進(jìn)入Flink開(kāi)發(fā)控制臺(tái),使用控制臺(tái)相關(guān)功能。
說(shuō)明如果該成員已經(jīng)登錄了Flink開(kāi)發(fā)控制臺(tái),被授權(quán)后刷新頁(yè)面即可進(jìn)入目標(biāo)項(xiàng)目空間。
編輯和刪除成員
編輯成員
具有編輯成員權(quán)限的成員可以單擊目標(biāo)成員操作列下的編輯,更改成員綁定的角色(包括內(nèi)置角色和自定義角色)。您可以參見(jiàn)查看角色權(quán)限和成員查看已有的自定義角色的權(quán)限,以進(jìn)行正確授權(quán)。
刪除成員
具有刪除成員權(quán)限的成員可以單擊目標(biāo)成員操作列下的刪除,刪除成員。刪除后,該成員將無(wú)法訪問(wèn)所屬項(xiàng)目空間。
角色管理
角色類(lèi)型及權(quán)限列表
Flink角色包括系統(tǒng)角色和自定義角色兩種類(lèi)型:
系統(tǒng)角色:Flink系統(tǒng)內(nèi)置角色,具有owner、editor、viewer三種角色。不支持修改角色的權(quán)限以及刪除角色。
自定義角色:僅owner角色和具有角色管理相關(guān)權(quán)限的角色可以創(chuàng)建、編輯、刪除自定義角色的權(quán)限,自定義角色權(quán)限需大于viewer所具有的權(quán)限。單個(gè)項(xiàng)目空間下最多支持創(chuàng)建10個(gè)自定義角色。
如果需要授予成員下列權(quán)限列表之外的權(quán)限點(diǎn)(例如如元數(shù)據(jù)管理、SQL開(kāi)發(fā)中的UDF管理等),需要將成員賦予editor或owner角色。
不同角色的權(quán)限差異如下表所示。
一級(jí)權(quán)限 | 二級(jí)權(quán)限 | owner | editor | viewer | 自定義角色權(quán)限依賴(lài)說(shuō)明 |
ETL(SQL開(kāi)發(fā)) | 查看SQL作業(yè)草稿列表 | √ | √ | √ | 無(wú) |
開(kāi)發(fā)SQL作業(yè)草稿(創(chuàng)建、編輯) | √ | √ | 默認(rèn)具有查看SQL作業(yè)草稿列表權(quán)限 | ||
調(diào)試SQL作業(yè)草稿 | √ | √ | 默認(rèn)具有開(kāi)發(fā)SQL作業(yè)草稿權(quán)限、查看Session集群權(quán)限 | ||
深度檢查SQL作業(yè)草稿 | √ | √ | 默認(rèn)具有調(diào)試SQL作業(yè)草稿權(quán)限 | ||
刪除SQL作業(yè)草稿 | √ | √ | 默認(rèn)具有查看SQL作業(yè)草稿列表權(quán)限 | ||
部署SQL作業(yè)草稿 | √ | √ | 默認(rèn)具有深度檢查SQL作業(yè)草稿權(quán)限 | ||
查看UDF JAR列表 | √ | √ | √ | 無(wú) | |
作業(yè)運(yùn)維 | 查看運(yùn)維部署作業(yè)列表 | √ | √ | √ | 無(wú) |
創(chuàng)建JAR、PYTHON部署作業(yè) | √ | √ | 默認(rèn)具有查看運(yùn)維部署作業(yè)列表、查看資源列表權(quán)限 | ||
更新運(yùn)維部署作業(yè)配置 | √ | √ | 默認(rèn)具有查看運(yùn)維部署作業(yè)列表權(quán)限 | ||
刪除運(yùn)維部署作業(yè) | √ | √ | 默認(rèn)具有查看運(yùn)維部署作業(yè)列表權(quán)限 | ||
啟動(dòng)/停止作業(yè)實(shí)例 | √ | √ | 默認(rèn)具有查看運(yùn)維部署作業(yè)列表權(quán)限 | ||
文件管理 | 查看資源列表 | √ | √ | √ | 默認(rèn)具有查看運(yùn)維部署作業(yè)列表權(quán)限 |
上傳資源 | √ | √ | 默認(rèn)具有查看資源列表權(quán)限 | ||
刪除資源 | √ | √ | 默認(rèn)具有查看資源列表權(quán)限 | ||
下載資源 | √ | √ | 默認(rèn)具有查看資源列表權(quán)限 | ||
Session管理 | 刪除Session集群 | √ | √ | 默認(rèn)具有查看Session集群權(quán)限 | |
查看Session集群 | √ | √ | √ | 無(wú) | |
創(chuàng)建Session集群 | √ | √ | 默認(rèn)具有查看Session集群權(quán)限 | ||
更新Session集群配置 | √ | √ | 默認(rèn)具有查看Session集群權(quán)限 | ||
啟動(dòng)/停止Session集群 | √ | √ | 默認(rèn)具有查看Session集群權(quán)限 | ||
安全中心 | 查看成員列表 | √ | √ | √ | 無(wú) |
創(chuàng)建成員 | √ | 默認(rèn)具有查看成員列表權(quán)限 | |||
編輯成員 | √ | 默認(rèn)具有查看成員列表權(quán)限 | |||
刪除成員 | √ | 默認(rèn)具有查看成員列表權(quán)限 | |||
查看角色列表 | √ | √ | √ | 無(wú) | |
創(chuàng)建角色 | √ | 默認(rèn)具有查看角色列表權(quán)限 | |||
編輯角色 | √ | 默認(rèn)具有查看角色列表權(quán)限 | |||
刪除角色 | √ | 默認(rèn)具有查看角色列表權(quán)限 | |||
查看變量列表 | √ | √ | √ | 無(wú) | |
創(chuàng)建變量 | √ | √ | 默認(rèn)具有查看變量列表權(quán)限 | ||
刪除變量 | √ | √ | 默認(rèn)具有查看變量列表權(quán)限 | ||
配置管理 | 查看作業(yè)模板 | √ | √ | √ | 無(wú) |
編輯作業(yè)模板 | √ | √ | 默認(rèn)具有查看作業(yè)模板權(quán)限 |
添加自定義角色
具有owner角色的成員或具有角色管理權(quán)限的成員登錄實(shí)時(shí)計(jì)算開(kāi)發(fā)控制臺(tái)。
在頁(yè)面頂部,選擇目標(biāo)項(xiàng)目空間名稱(chēng)。
單擊左側(cè)導(dǎo)航欄的,單擊角色管理頁(yè)簽。
單擊添加角色,填寫(xiě)相關(guān)信息。
參數(shù)
說(shuō)明
角色名稱(chēng)
自定義角色名稱(chēng)。字母開(kāi)頭,僅支持?jǐn)?shù)字、字母和短橫線(-),不超過(guò)64個(gè)字符。
角色備注
用于角色的信息補(bǔ)充或說(shuō)明,幫助管理員或其他成員理解角色的用途、權(quán)限范圍等。不超過(guò)256個(gè)字符。
角色權(quán)限
支持在viewer或editor角色權(quán)限基礎(chǔ)上快速增加權(quán)限,自定義權(quán)限需大于viewer所具有的權(quán)限。
為了確保權(quán)限的完整性,部分權(quán)限點(diǎn)包含其他必要的依賴(lài)權(quán)限點(diǎn),系統(tǒng)將自動(dòng)為您默認(rèn)勾選,具體權(quán)限依賴(lài)請(qǐng)參見(jiàn)上方權(quán)限列表。
單擊確定,即可看到添加的角色。
查看、編輯和刪除角色
查看角色權(quán)限和成員
所有成員可以單擊目標(biāo)角色操作列下的查看權(quán)限查看該角色擁有的權(quán)限,單擊查看成員可以查看所有已綁定該角色的成員。
編輯角色權(quán)限
系統(tǒng)角色:不支持修改角色權(quán)限。
自定義角色:具有編輯角色權(quán)限的成員可以單擊目標(biāo)角色操作列下的編輯權(quán)限,根據(jù)需要添加或移除權(quán)限。
刪除角色
系統(tǒng)角色:不支持刪除。
自定義角色:刪除自定義角色前,考慮安全風(fēng)險(xiǎn)您需要將該角色下所有綁定的成員刪除或更改為其他角色(需要具有成員管理相關(guān)權(quán)限,具體操作請(qǐng)參見(jiàn)編輯和刪除成員)。該角色無(wú)綁定成員后,具有刪除角色權(quán)限的成員可以單擊目標(biāo)角色操作列下的刪除以刪除角色。
查看賬號(hào)ID、 RAM用戶(hù)ID和RAM角色I(xiàn)D
主賬號(hào)ID:鼠標(biāo)懸浮在控制臺(tái)頁(yè)面右上角的頭像上,即可查看賬號(hào)ID。
RAM用戶(hù)ID(UID):具體請(qǐng)參見(jiàn)查看RAM用戶(hù)信息。
RAM角色I(xiàn)D:具體請(qǐng)參見(jiàn)查看RAM角色。
相關(guān)文檔
RAM用戶(hù)或者RAM角色等方式訪問(wèn)實(shí)時(shí)計(jì)算控制臺(tái),并進(jìn)行購(gòu)買(mǎi)、查看或者刪除工作空間等操作時(shí)需要進(jìn)行RAM授權(quán),詳情請(qǐng)參見(jiàn)RAM授權(quán)。
本文的項(xiàng)目空間權(quán)限與RAM權(quán)限的區(qū)別,詳情請(qǐng)參見(jiàn)權(quán)限管理。
支持使用不同身份(包括阿里云賬號(hào)、RAM角色、RAM用戶(hù)等)訪問(wèn)Flink控制臺(tái),詳情請(qǐng)參見(jiàn)支持的登錄方式。
項(xiàng)目空間下增刪成員、查看成員列表等相關(guān)API,詳情請(qǐng)參見(jiàn)成員管理。