授权须知

本文为您介绍授权操作前需要了解的关键信息,包括授权场景、权限模型、控制台功能区别、授权流程以及基于登录方式的授权说明。

注意事项

在首次开通实时计算Flink版时,开通页面会提示您完成自动化授权(跳转至RAM,并在云资源访问授权页面单击同意授权)。完成授权后,您的阿里云账号将获得访问实时计算管理控制台和实时计算开发控制台的权限,同时具备调用相关云产品资源的权限。

如果您需要与其他用户共享某工作空间,并为他们分配细粒度的权限,可参考本文档中的指引,为其他用户进行授权配置。

授权总指引

授权场景

场景

说明

授权策略

授权方法

管理操作

如果用户需要执行购买工作空间、购买资源或调整资源配置等管理类操作,则用户需登录实时计算管理控制台。

  • 全量权限:如果希望用户拥有该控制台的全部权限,可以直接授予AliyunStreamFullAccess系统权限策略。

  • 细粒度权限:若需对用户权限进行精细化控制,请创建自定义权限策略,并根据具体需求为用户分配相应权限。

管理控制台授权

开发与运维操作

如果用户需要进行作业开发、作业调试或其他运维等操作,则用户需登录实时计算开发控制台。

  • 全量权限:如果希望用户拥有该项目空间开发控制台的全部权限,可以为其绑定Owner角色。

  • 细粒度权限:若需对用户权限进行精细化控制,请创建自定义角色,并根据具体需求为用户绑定相应的自定义角色。

开发控制台授权

权限模型

实时计算管理控制台

实时计算管理控制台的权限是由云账号在RAM访问控制台上为RAM用户或RAM身份等添加权限策略进行管理,该策略的可授权范围是云账号内的所有资源,包括实时计算Flink版及相关产品等相关权限。

image

实时计算开发控制台

实时计算开发控制台的权限由云账号在实时计算开发控制台上通过为RAM用户或其他阿里云账号添加角色进行管理,该角色的可授权范围涵盖实时计算开发控制台的一级和二级功能的所有权限。

image

控制台介绍

在登录和授权前您需要了解您要授权的对象。实时计算控制台分为实时计算管理控制台和实时计算开发控制台,二者的界面和作用区别如下表。

控制台名称

界面

作用

实时计算管理控制台

image.png

查看工作空间,进行工作空间的购买、资源调整、工作空间释放、项目空间克隆、OSS Bucket切换全托管存储等操作。

实时计算开发控制台

image

在目标项目空间下,进行作业开发、运维、项目空间授权等操作。

授权流程

在进行授权前,管理员(即购买工作空间的阿里云主账号或具有相应权限的其他用户)需根据实际授权场景,明确授权主体所需登录的控制台,并确定是授予系统权限策略/角色,还是创建并分配自定义权限策略/角色。最后,按照对应控制台具体授权方法完成授权操作。

image

按登录方式授权

阿里云账号登录

重要

购买该工作空间的阿里云账号,默认具有该实时计算管理控制台和实时计算开发控制台的所有权限,无需单独进行授权。当其他阿里云账号要访问实时计算控制台时,您可以按照如下指引进行授权。

登录方式

登录对象

授权说明

主账号

实时计算管理控制台

其他阿里云账号无法经过授权访问实时计算管理控制台。

实时计算开发控制台

阿里云RAM用户登录

登录方式

登录对象

授权说明

RAM用户

实时计算管理控制台

实时计算开发控制台

阿里云RAM角色登录

重要

通过RAM角色登录时,需要对应的RAM用户具有AliyunSTSAssumeRoleAccess权限,即允许RAM用户扮演RAM角色。

登录方式

登录对象

授权说明

RAM用户扮演某主账号的某角色登录

实时计算管理控制台

实时计算开发控制台

例如,无论是主账号A下的RAM用户flinktestA扮演主账号A的某个角色登录,还是主账号B下的RAM用户flinktestB扮演主账号A的同一个角色登录,其授权的主体本质上是相同的。

资源目录成员登录

登录方式

登录对象

授权说明

通过根用户(阿里云账号)登录

实时计算管理控制台

无需单独授权。

实时计算开发控制台

管理账号的RAM用户扮演成员RAM角色的方式登录

实时计算管理控制台

通常无需单独授权。

实时计算开发控制台

  • 授权方法:开发控制台授权,通常无需单独授权。

  • 授权主体:资源目录成员Z的账号ID。

通过成员的RAM用户登录

实时计算管理控制台

实时计算开发控制台

SSO用户通过RAM角色登录

实时计算管理控制台

  • 授权方法:RD账号上授权

  • 授权主体:在云SSO上创建访问配置,并进行RD账号授权。

实时计算开发控制台

SSO用户通过RAM用户登录

实时计算管理控制台

实时计算开发控制台

授权基本概念

账号类型

账号类型

说明

阿里云账号(主账号)

阿里云账号(主账号)是阿里云资源的归属及使用计量计费的基本主体,将作为阿里云系统用于识别资源消费的账号,拥有所购买产品的所有权限。注册流程请参见账号注册(PC端)

阿里云RAM用户

RAM用户是RAM中的一种实体身份,代表需要访问阿里云的人员或应用程序。创建RAM用户并授权后,RAM用户就可以访问有权限的云资源。创建操作请参见创建RAM用户

阿里云RAM角色

RAM角色是一种虚拟用户,可以被授予一组权限策略。与RAM用户不同,RAM角色没有永久身份凭证(登录密码或访问密钥),需要被一个可信实体扮演。详情请参见RAM角色概览

资源目录成员

资源目录RD(Resource Directory)是阿里云面向企业客户提供的一套多级账号和资源关系管理服务。成员是通过资源目录创建出来的资源账号,该资源账号用于承载您在阿里云上的某些项目或应用。详情请参见什么是资源目录

权限(Permission)

阿里云使用权限来描述RAM身份(RAM用户、RAM用户组、RAM角色)对具体资源的访问能力,具体如下:

  • 阿里云账号(资源属主)控制所有权限

    • 每个资源有且仅有一个资源属主,该资源属主必须是阿里云账号,对资源拥有完全控制权限。

    • 资源属主不一定是资源创建者。例如:一个RAM身份被授予创建资源的权限,该RAM身份创建的资源归属于阿里云账号,该RAM身份是资源创建者但不是资源属主。

  • RAM身份(操作员)默认无任何权限

    • RAM身份代表的是操作员,其所有操作都需被阿里云账号显式授权。

    • 新建的RAM身份默认没有任何操作权限,只有在被授权之后,才能通过控制台和API操作资源。

权限策略(Policy)

权限策略是用语法结构描述的一组权限的集合,可以精确地描述被授权的资源集、操作集以及授权条件。RAM支持的权限策略基本元素和语言规范,请参见权限策略基本元素权限策略语法和结构

RAM支持以下两种权限策略:

  • 阿里云管理的系统权限策略:统一由阿里云创建,用户只能使用,不能修改,策略的版本更新由阿里云维护。

  • 用户管理的自定义权限策略:用户可以自主创建、更新和删除,策略的版本更新由用户自己维护。

通过为RAM身份绑定权限策略,可以获得权限策略中指定的访问权限。具体操作,请参见RAM用户授权RAM用户组授权RAM角色授权