共享模式角色授权 - 实时计算Flink版

本文为您介绍实时计算的角色授权操作，包括自动化角色授予流程、重新初始化流程和常见问题。

您开通实时计算服务时，需要先为实时计算的服务账号，授予系统默认角色AliyunStreamDefaultRole。

说明

仅当AliyunStreamDefaultRole被正确授予后，实时计算才能正常地调用相关服务（例如RDS）。
实时计算共享模式已于2019年12月24日正式下线，将不再支持共享模式新项目的购买，仅支持原有项目的扩缩容、续费操作。若有新购需求，推荐使用实时计算独享模式或Flink云原生模式。

自动化角色授予流程

单击前往授权，进行角色授权。
说明
- 请先完成实时计算产品购买，产品购买步骤请参见开通服务和创建项目。
- 以上角色授权提示，仅在您没有正确授予实时计算服务账号默认角色时出现。
单击AliyunStreamDefaultRole > 同意授权，完成角色授权。

说明当完成以上授权步骤后，刷新实时计算的控制台，即可以进行业务操作。

当前角色授权信息查看

登录RAM角色管理
在RAM角色管理页面底部的RAM角色名称列中单击AliyunStreamDefaultRole。
在AliyunStreamDefaultRole页面中单击权限管理 > AliyunStreamRolePolicy。

在策略内容页签内查看实时计算当前策略信息，如下所示。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "ots:List*",
        "ots:DescribeTable",
        "ots:Get*",
        "ots:*Row"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "dhs:Create*",
        "dhs:List*",
        "dhs:Get*",
        "dhs:PutRecords",
        "dhs:DeleteTopic"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*",
        "log:Get*",
        "log:Post*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "mns:List*",
        "mns:Get*",
        "mns:Send*",
        "mns:Publish*",
        "mns:Subscribe"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "drds:DescribeDrdsInstance",
        "drds:ModifyDrdsIpWhiteList"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "rds:Describe*",
        "rds:ModifySecurityIps*"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "vpc:DescribeVpcs",
        "vpc:DescribeVSwitches"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "ecs:CreateSecurityGroup",
        "ecs:AuthorizeSecurityGroup",
        "ecs:CreateNetworkInterface",
        "ecs:DescribeNetworkInterfaces",
        "ecs:AttachNetworkInterface",
        "ecs:DescribeNetworkInterfacePermissions",
        "ecs:CreateNetworkInterfacePermission"
      ],
      "Resource": "*",
      "Effect": "Allow"
    },
    {
      "Action": "oss:*",
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

重新初始化

注意

删除AliyunStreamDefaultRole角色后，可能导致实时计算正在运行的作业瞬间无法读写上下游外部存储，直到后续重新初始化AliyunStreamDefaultRole角色后才能恢复正常。请务必确认这项操作对于线上实时计算业务造成的影响。
RAM删除角色和流计算重新初始化操作均需要当前用户的主账号或者经主账号授权的具备RAM权限子账号操作。

当您删除或修改AliyunStreamRolePolicy授权策略导致无法恢复时，您可以在RAM中删除AliyunStreamDefaultRole，并重新进入实时计算控制台，让实时计算重新启动自动化角色授予流程。

重新初始化步骤：

登录RAM角色管理
在RAM角色管理页面底部的RAM角色名称列中单击AliyunStreamDefaultRole。
在AliyunStreamDefaultRole页面的权限管理页签中单击AliyunStreamRolePolicy操作列下的移除权限。

说明如果AliyunStreamRolePolicy已经删除，可跳过此步骤。
单击AliyunStreamDefaultRole页面底部的RAM角色管理，返回RAM角色管理页面。
在RAM角色管理页面底部，单击AliyunStreamDefaultRole的操作列下的删除。
登录实时计算控制台。
单击前往授权。
单击同意授权。
通过手机短信等验证方式，完成角色授权。

说明实时计算和RAM对于授权均有不同程度的缓存，有可能在删除角色或者授权角色后，实时计算仍然提示需要授权角色。此时系统已经完成授权任务，单击授权完毕即可。

常见问题

Q：子账号在操作数据存储的时候如果出现错误信息操作错误：子账号没有passRole权限，请到RAM对改子账号赋权。错误详情为：922019。

A：请先完成主子账号角色授权。主子账号角色授权步骤请参见主子账号。