全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 智能硬件
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 更多
流计算

角色授权

更新时间:2017-12-20 21:32:38

在用户开通流计算服务时,需要授予一个名称为AliyunStreamDefaultRole的系统默认角色给流计算的服务账号,当且仅当该角色被正确授予后,流计算才能正常地调用相关服务,例如RDS等。请注意,流计算必须提前进行角色授权,否则后续不能正常运行!

自动化角色授予流程

当新用户创建项目或第一次进入项目时,如果没有正确的授予默认角色给流计算服务账号,会看到如下视图,此时应该点击 “前往RAM进行创建” 链接,进行角色授权。

准备创建

再次提醒: 流计算必须提前进行角色授权,否则后续不能正常运行!

当点击 “前往RAM进行创建” 链接后跳转到的视图如下,点击同意授权按钮后,即完成了将默认角色AliyunStreamDefaultRole授予给流计算 服务账号。此时即完成了授权的全部内容。

同意授权

当完成以上授权步骤后,重新刷新流计算的控制台,就可以进行操作了。如果想要查看AliyunStreamDefaultRole 相关的详细信息,可以登陆Ram的控制台查看,也可以点击查看链接。

流计算角色当前授权的权限如下:

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Action": [
  6. "ots:List*",
  7. "ots:DescribeTable",
  8. "ots:Get*",
  9. "ots:*Row"
  10. ],
  11. "Resource": "*",
  12. "Effect": "Allow"
  13. },
  14. {
  15. "Action": [
  16. "dhs:Create*",
  17. "dhs:List*",
  18. "dhs:Get*",
  19. "dhs:PutRecords",
  20. "dhs:DeleteTopic"
  21. ],
  22. "Resource": "*",
  23. "Effect": "Allow"
  24. },
  25. {
  26. "Action": [
  27. "rds:Describe*",
  28. "rds:ModifySecurityIps*"
  29. ],
  30. "Resource": "*",
  31. "Effect": "Allow"
  32. },
  33. {
  34. "Action": [
  35. "log:List*",
  36. "log:Get*",
  37. "log:Post*"
  38. ],
  39. "Resource": "*",
  40. "Effect": "Allow"
  41. },
  42. {
  43. "Action": [
  44. "mns:List*",
  45. "mns:Get*",
  46. "mns:Send*",
  47. "mns:Publish*",
  48. "mns:Subscribe"
  49. ],
  50. "Resource": "*",
  51. "Effect": "Allow"
  52. },
  53. {
  54. "Action": [
  55. "drds:Describe*",
  56. "drds:ModifySecurityIps*"
  57. ],
  58. "Resource": "*",
  59. "Effect": "Allow"
  60. }
  61. ]
  62. }

重新初始化

当用户不小心删除了阿里云流计算在RAM角色”AliyunStreamDefaultRole”,或者用户不小心修改了AliyunStreamDefaultRole的授权策略无法恢复。用户可以考虑在RAM中删除该角色,并重新进入流计算WebConsole,让流计算尝试重新初始化注册RAM角色的流程。

特别注意的是,删除AliyunStreamDefaultRole角色后,可能导致流计算正在运行的作业瞬间无法读写上下游外部存储,直到后续重新初始化AliyunStreamDefaultRole角色后访客恢复正常。请务必确保这项操作对于线上流计算业务是否会造成影响!!!

另外,同样需要注意的是,RAM删除角色和流计算重新初始化操作均需要当前用户的主账号或者经主账号授权的具备RAM权限子账号操作。

在RAM中,找到”角色管理”-“AliyunStreamDefaultRole”,点击删除,即可删除阿里云流计算的角色。

删除角色

解除关联

随后,进入流计算WebConsole,流计算此时就会提示用户进行重新授权。

同意授权

注意,流计算和RAM对于授权均有不同程度的缓存,有可能在删除角色或者授权角色后,流计算仍然提示需要授权角色。这种情况实际上已经授权成功,请选择”授权完毕”按钮即可。

异常问题

子账号在操作数据存储的时候会出现以下错误信息:

1

主子账号 Role 授权

进入RAM地址,进行以下操作为子账号赋权。

AliyunRAMFullAccess 权限较大,如果 A 需要控制 a_1 的权限范围,只授予PassRole 权限,可以修改授权策略的 Action、Resource,如下示例(注意:其中45643 只是示例uid,请以实际uid为准):

  1. {
  2. "Statement": [
  3. {
  4. "Action": "ram:PassRole",
  5. "Effect": "Allow",
  6. "Resource": "acs:ram::45643:role/AliyunStreamDefaultRole"
  7. }
  8. ],
  9. "Version": "1"
  10. }

操作步骤

1.新建授权策略

00

2.给子账号授权

111

3.搜索名称,授权完成

444

本文导读目录