文档

RAM访问控制

更新时间:
一键部署

如果通过RAM用户使用流数据服务Confluent,需要阿里云账号(主账号)为该RAM用户(子账号)授权。RAM用户只有被授予相关的权限后才可以正常访问流数据服务Confluent的控制台并进行操作。本文向您展示如何为RAM用户授权。

授权步骤

您需要两步完成RAM授权流程:

  1. 集群管控页面中完成RAM角色授权。

  2. RAM权限管理页面中完成AliyunMarketplaceFullAccess授权。

说明

RAM角色授权包含以下权限点。

SLB 相关授权

权限描述:为了能从公网访问开发控制台,需要在您的账号下开通按量付费"sld.s1.small"型SLB实例,网络类型为-私网,该SLB仅收取规格费。

注意事项:按量付费SLB服务会产生额外费用。查看计费规则

ECS 相关授权

权限描述:在您VPC下创建ENI,以连通您VPC内的相关资源,这些ENI会被放到CSP的专属安全组中,因此需要对ENI/安全组的访问权限。

VPC 相关授权

权限描述:为了开通方便,需要部分VPC内资源的Describe权限。

OSS 相关授权

权限描述:获取您OSS的Bucket信息,以便能成功获取CSP的Jar包和将CSP作业的日志、Savepoint、checkpoint等信息写入您对应的OSS中。

RAM 相关授权

权限描述:开通过程中需要RAM相关权限进行资源配置。

RAM角色授权

  1. 首次登录集群管控页面,会自动检测角色是否被授权,如果未授权则弹出授权提示,点击“前往RAM授权”按钮,进入授权详情页。

  1. 在授权详情页中点击“同意授权”按钮,完成AliyunStreamAsiDefaultRole角色授权。

注意

如果是RAM子账号或STS账号登录,需要通过主账号授权AliyunRAMFullAccess策略或者添加如下自定义策略,授权完成之后方可创建AliyunStreamAsiDefaultRole角色。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateRole",
                "ram:AttachPolicyToRole"
            ],
            "Resource": [
                "acs:ram:*:*:role/AliyunStreamAsiDefaultRole",
                "acs:ram:*:system:policy/AliyunStreamAsiDefaultRolePolicy"
            ],
            "Effect": "Allow"
        }
    ],
    "Version": "1"
}

AliyunMarketplaceFullAccess授权

  1. 进入RAM权限管理界面,为角色AliyunStreamAsiDefaultRole@role.[您的主账号uid].onaliyunservice.com添加AliyunMarketplaceFullAccess权限,该权限为管理云市场marketplace的权限。具体步骤请参见为RAM角色授权

image
  1. 完成授权后,您的权限管理页面应该包含如下两个权限点。

image
注意

如果是RAM子账号或者STS账号登录集群,还需要对Confluent集群实例相关接口进行RAM授权,相关授权策略如下。

Confluent集群实例接口授权

  1. 进入RAM权限管理界面,创建如下内容的自定义策略,该权限为访问Confluent集群实例相关接口的权限,并为您登录集群的子账号或STS账号添加该权限。具体步骤请参见创建自定义权限策略为RAM用户授权

{
    "Statement": [
        {
            "Action": "csp:*",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

  • 本页导读 (0)
文档反馈