当希望多个用户能够共同使用Flink下的某项目空间,在Flink开发控制台进行作业开发、运维等相关操作时,需要通过添加成员并为成员绑定角色的方式完成项目空间授权。同时,为了提供更加灵活和安全的权限管理机制,支持根据实际业务需要添加自定义角色,以满足不同权限的需要。本文为您介绍如何添加角色、添加成员并为成员绑定不同角色。
权限问题指引
成员管理
添加成员
具有创建成员权限(例如owner)的成员登录Flink开发控制台。
在页面顶部,选择目标项目空间名称。
单击左侧导航栏的安全中心,单击成员管理页签。
单击添加成员,添加成员并为成员选择角色。
选择RAM账号:显示本项目空间对应阿里云账号下已创建的RAM用户和RAM角色,支持批量选择进行授权。
手动添加账号:您可以手动输入其他的阿里云账号ID、RAM用户ID、RAM角色ID,进行授权。
说明ID的查看方法请参见查看账号ID、 RAM用户ID和RAM角色ID。
角色:支持选择系统角色和自定义角色。您可以在角色管理页签,单击目标角色操作列下的查看权限,查看对应角色拥有的权限。
单击确定。
授权后的成员,即可通过目标项目空间URL进入Flink开发控制台,使用控制台相关功能。
说明如果该成员已经登录了Flink开发控制台,被授权后刷新页面即可进入目标项目空间。
编辑和删除成员
编辑成员
具有编辑成员权限的成员可以单击目标成员操作列下的编辑,更改成员绑定的角色(包括内置角色和自定义角色)。您可以参见查看角色权限和成员查看已有的自定义角色的权限,以进行正确授权。
删除成员
具有删除成员权限的成员可以单击目标成员操作列下的删除,删除成员。删除后,该成员将无法访问所属项目空间。
角色管理
角色类型及权限列表
Flink角色包括系统角色和自定义角色两种类型:
系统角色:Flink系统内置角色,具有owner、editor、viewer三种角色。不支持修改角色的权限以及删除角色。
自定义角色:仅owner角色和具有角色管理相关权限的角色可以创建、编辑、删除自定义角色的权限,自定义角色权限需大于viewer所具有的权限。单个项目空间下最多支持创建10个自定义角色。
如果需要授予成员下列权限列表之外的权限点(例如如元数据管理、SQL开发中的UDF管理等),需要将成员赋予editor或owner角色。
不同角色的权限差异如下表所示。
一级权限 | 二级权限 | owner | editor | viewer | 自定义角色权限依赖说明 |
SQL开发 | 查看SQL作业草稿列表 | √ | √ | √ | 无 |
开发SQL作业草稿(创建、编辑) | √ | √ | 默认具有查看SQL作业草稿列表权限 | ||
调试SQL作业草稿 | √ | √ | 默认具有开发SQL作业草稿权限、查看Session集群权限 | ||
深度检查SQL作业草稿 | √ | √ | 默认具有调试SQL作业草稿权限 | ||
删除SQL作业草稿 | √ | √ | 默认具有查看SQL作业草稿列表权限 | ||
部署SQL作业草稿 | √ | √ | 默认具有深度检查SQL作业草稿权限 | ||
查看UDF JAR列表 | √ | √ | √ | 无 | |
作业运维 | 查看运维部署作业列表 | √ | √ | √ | 无 |
创建JAR、PYTHON部署作业 | √ | √ | 默认具有查看运维部署作业列表、查看资源列表权限 | ||
更新运维部署作业配置 | √ | √ | 默认具有查看运维部署作业列表权限 | ||
删除运维部署作业 | √ | √ | 默认具有查看运维部署作业列表权限 | ||
启动/停止作业实例 | √ | √ | 默认具有查看运维部署作业列表权限 | ||
资源管理 | 查看资源列表 | √ | √ | √ | 默认具有查看运维部署作业列表权限 |
上传资源 | √ | √ | 默认具有查看资源列表权限 | ||
删除资源 | √ | √ | 默认具有查看资源列表权限 | ||
下载资源 | √ | √ | 默认具有查看资源列表权限 | ||
Session管理 | 删除Session集群 | √ | √ | 默认具有查看Session集群权限 | |
查看Session集群 | √ | √ | √ | 无 | |
创建Session集群 | √ | √ | 默认具有查看Session集群权限 | ||
更新Session集群配置 | √ | √ | 默认具有查看Session集群权限 | ||
启动/停止Session集群 | √ | √ | 默认具有查看Session集群权限 | ||
安全中心 | 查看成员列表 | √ | √ | √ | 无 |
创建成员 | √ | 默认具有查看成员列表权限 | |||
编辑成员 | √ | 默认具有查看成员列表权限 | |||
删除成员 | √ | 默认具有查看成员列表权限 | |||
查看角色列表 | √ | √ | √ | 无 | |
创建角色 | √ | 默认具有查看角色列表权限 | |||
编辑角色 | √ | 默认具有查看角色列表权限 | |||
删除角色 | √ | 默认具有查看角色列表权限 | |||
查看密钥列表 | √ | √ | √ | 无 | |
创建密钥 | √ | √ | 默认具有查看密钥列表权限 | ||
删除密钥 | √ | √ | 默认具有查看密钥列表权限 | ||
配置管理 | 查看作业模板 | √ | √ | √ | 无 |
编辑作业模板 | √ | √ | 默认具有查看作业模板权限 |
添加自定义角色
具有owner角色的成员或具有角色管理权限的成员登录实时计算开发控制台。
在页面顶部,选择目标项目空间名称。
单击左侧导航栏的安全中心,单击角色管理页签。
单击添加角色,填写相关信息。
参数
说明
角色名称
自定义角色名称。字母开头,仅支持数字、字母和短横线(-),不超过64个字符。
角色备注
用于角色的信息补充或说明,帮助管理员或其他成员理解角色的用途、权限范围等。不超过256个字符。
角色权限
支持在viewer或editor角色权限基础上快速增加权限,自定义权限需大于viewer所具有的权限。
为了确保权限的完整性,部分权限点包含其他必要的依赖权限点,系统将自动为您默认勾选,具体权限依赖请参见上方权限列表。
单击确定,即可看到添加的角色。
查看、编辑和删除角色
查看角色权限和成员
所有成员可以单击目标角色操作列下的查看权限查看该角色拥有的权限,单击查看成员可以查看所有已绑定该角色的成员。
编辑角色权限
系统角色:不支持修改角色权限。
自定义角色:具有编辑角色权限的成员可以单击目标角色操作列下的编辑权限,根据需要添加或移除权限。
删除角色
系统角色:不支持删除。
自定义角色:删除自定义角色前,考虑安全风险您需要将该角色下所有绑定的成员删除或更改为其他角色(需要具有成员管理相关权限,具体操作请参见编辑和删除成员)。该角色无绑定成员后,具有删除角色权限的成员可以单击目标角色操作列下的删除以删除角色。
