开发控制台授权

当希望多个用户能够共同使用Flink下的某项目空间,在实时计算开发控制台进行作业开发、运维等相关操作时,可以通过添加成员并为成员绑定角色的方式完成开发控制台授权。本文为您介绍授权场景、角色类型和授权操作。

授权场景

场景

界面

说明

无法访问当前项目空间

image

说明您当前无该目空间权限。请联系该项目空间具有owner角色的成员或拥有成员管理权限的用户,按照授权操作为您分配View及以上角色。授权完成后,请重新进入或刷新页面即可访问。

无法使用某个具体的功能或操作

image

说明当前账号无对应操作权限。请联系具有owner角色的成员或拥有角色管理权限用户,根据您的操作需求重新修改自定义角色的权限,以保证您能够执行相关操作。

角色类型

角色是多种权限策略的集合。实时计算开发控制台中的角色分为系统角色和自定义角色两种类型,具体差异如下表所示。

角色类型

角色说明

注意事项

系统角色

Flink系统内置角色,具有owner、editor、viewer三种系统角色。不同系统角色支持的权限差异请参见细粒度权限列表

  • 不支持修改系统角色的权限以及删除系统角色。

  • 如果需要授予细粒度权限列表之外的权限点(例如元数据管理、SQL开发中的UDF管理等),需要将成员赋予editorowner角色。

自定义角色

当系统角色无法满足更细粒度的授权需求时,您可以创建自定义角色。支持在viewereditor角色权限基础上快速扩展和添加所需权限。

  • 自定义权限需包含并高于viewer角色的权限。

  • owner角色或具有角色管理权限的用户可以创建、编辑、删除自定义角色。

  • 单个项目空间最多支持创建10个自定义角色。

  • 创建自定义角色时,需注意权限点之间的依赖关系,确保权限配置合理且完整。

前提条件

已了解授权须知

授权操作

一、(可选)创建自定义角色

根据实际需求创建自定义角色权限。如需直接使用系统默认角色,可跳过此步骤。

  1. 具有Owner角色的成员或具有角色管理权限的成员登录实时计算开发控制台。

  2. 在页面顶部,选择目标项目空间名称。

    image.png

  3. 单击左侧导航栏的安全服务 > 权限管理,单击角色管理页签。

  4. 单击添加角色,填写相关信息。

    参数

    说明

    角色名称

    自定义角色名称。字母开头,仅支持数字、字母和短横线(-),不超过64个字符。

    角色备注

    用于角色的信息补充或说明,帮助管理员或其他成员理解角色的用途、权限范围等。不超过256个字符。

    角色权限

    为了确保权限的完整性,部分权限点包含其他必要的依赖权限点,系统将自动为您默认勾选,具体权限依赖请参见细粒度权限列表

  5. 单击确定,即可查看、编辑和删除已添加的自定义角色。

    image

    • 查看权限:查看该角色具有哪些权限。

    • 查看成员:查看该角色都绑定了哪些成员。

    • 编辑权限:具有编辑角色权限的成员可以根据需要添加或移除权限。

    • 删除自定义角色:删除前考虑安全风险您需要将该角色下所有绑定的成员删除或更改为其他角色。该角色无绑定成员后,具有删除角色权限的成员可以单删除角色。

二、为成员绑定目标角色

为成员绑定目标角色,确保其拥有必要的权限。

  1. 具有创建成员权限(例如owner)的成员登录实时计算开发控制台。

  2. 在页面顶部,选择目标项目空间名称。

    image.png

  3. 单击左侧导航栏的安全服务 > 权限管理,单击成员管理页签。

  4. 单击添加成员,添加成员并为成员选择角色

    项目空间授权.png

    配置项

    详情

    选择RAM账号

    显示本项目空间对应阿里云账号下已创建的RAM用户和RAM角色,支持批量选择进行授权。

    手动添加账号

    手动输入其他的阿里云账号ID、RAM用户ID、RAM角色ID,进行授权。ID查看方式详情如下:

    • 主账号ID:鼠标悬浮在控制台页面右上角的头像上,即可查看账号ID

    • RAM用户ID(UID):具体请参见查看RAM用户信息

    • RAM角色ID:具体请参见查看RAM角色image

    角色

    支持选择系统角色和自定义角色。在选择目标角色前,您可以在角色管理页签,单击目标角色操作列下的查看权限,查看对应角色拥有的权限。

  1. 单击确定

三、授权完成后登录使用

授权完成后,新添加的成员即可登录实时计算开发控制台并使用相关功能。

  • 之前已登录:成员被授权后,刷新页面即可进入目标项目空间。

  • 之前未登录:成员被授权后,可通过目标项目空间URL进入。

细粒度权限列表

一级权限

二级权限

owner

editor

viewer

自定义角色权限依赖说明

ETL/数据摄入

查看SQL/YAML作业草稿列表

开发SQL/YAML作业草稿(创建、编辑)

默认具有查看SQL/YAML作业草稿列表权限

调试SQL作业草稿

默认具有开发SQL作业草稿权限、查看Session集群权限

深度检查SQL/YAML作业草稿

默认具有调试SQL/YAML作业草稿权限

删除SQL/YAML作业草稿

默认具有查看SQL/YAML作业草稿列表权限

部署SQL/YAML作业草稿

默认具有深度检查SQL/YAML作业草稿权限

数据查询

查看数据查询脚本

编辑数据查询脚本(创建、编辑、删除)

默认具有查看数据查询脚本权限

执行数据查询脚本

默认具有查看数据查询脚本权限

作业运维

查看运维部署作业列表

部署JAR、PYTHON作业

默认具有查看运维部署作业列表、查看资源列表权限

更新运维部署作业配置

默认具有查看运维部署作业列表权限

删除运维部署作业

默认具有查看运维部署作业列表权限

启动/停止作业实例

默认具有查看运维部署作业列表权限

数据管理

查看物化表

创建物化表

默认具有查看化表权限

删除物化表

默认具有查看化表权限

编辑物化表

默认具有查看化表权限

文件管理

查看资源列表

默认具有查看运维部署作业列表权限

上传资源

默认具有查看资源列表权限

删除资源

默认具有查看资源列表权限

下载资源

默认具有查看资源列表权限

创建迁移计划

默认具有查看迁移计划权限

编辑迁移计划

默认具有查看迁移计划权限

查看迁移计划

删除迁移计划

默认具有查看迁移计划权限

Session管理

删除Session集群

默认具有查看Session集群权限

查看Session集群

创建Session集群

默认具有查看Session集群权限

更新Session集群配置

默认具有查看Session集群权限

启动/停止Session集群

默认具有查看Session集群权限

安全中心

查看成员列表

创建成员

默认具有查看成员列表权限

编辑成员

默认具有查看成员列表权限

删除成员

默认具有查看成员列表权限

查看角色列表

创建角色

默认具有查看角色列表权限

编辑角色

默认具有查看角色列表权限

删除角色

默认具有查看角色列表权限

查看变量列表

创建变量

默认具有查看变量列表权限

删除变量

默认具有查看变量列表权限

配置管理

查看作业模板

编辑作业模板

默认具有查看作业模板权限

相关文档

  • RAM用户或者RAM角色等方式访问实时计算管理控制台,并进行购买、查看或者删除工作空间等操作时需要进行授权,详情请参见管理控制台授权

  • 项目空间下增删成员、查看成员列表等相关API,详情请参见成员管理