实时计算Flink > 准备工作——角色授权
您开通实时计算服务时,需要授予一个名称为AliyunStreamDefaultRole的系统默认角色给实时计算的服务账号。当且仅当该角色被正确授予后,实时计算才能正常地调用相关服务,例如RDS等。
注意:实时计算必须提前进行角色授权,否则后续不能正常运行。
自动化角色授予流程
当您创建项目或第一次进入项目时,如果没有正确的授予默认角色给实时计算服务账号,会看到如下视图,此时应该点击前往授权,进行角色授权。
点击AliyunStreamDefaultRole>同意授权,即完成了授权的全部内容。
当完成以上授权步骤后,重新刷新实时计算的控制台,就可以进行操作了。如果想要查看AliyunStreamDefaultRole 相关的详细信息,可以登陆Ram的控制台查看,也可以点击查看链接。
实时计算角色当前授权的权限如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"ots:List*",
"ots:DescribeTable",
"ots:Get*",
"ots:*Row"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"dhs:Create*",
"dhs:List*",
"dhs:Get*",
"dhs:PutRecords",
"dhs:DeleteTopic"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:List*",
"log:Get*",
"log:Post*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"mns:List*",
"mns:Get*",
"mns:Send*",
"mns:Publish*",
"mns:Subscribe"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"drds:DescribeDrdsInstance",
"drds:ModifyDrdsIpWhiteList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"rds:Describe*",
"rds:ModifySecurityIps*"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"vpc:DescribeVpcs",
"vpc:DescribeVSwitches"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"ecs:CreateSecurityGroup",
"ecs:AuthorizeSecurityGroup",
"ecs:CreateNetworkInterface",
"ecs:DescribeNetworkInterfaces",
"ecs:AttachNetworkInterface",
"ecs:DescribeNetworkInterfacePermissions",
"ecs:CreateNetworkInterfacePermission"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "oss:*",
"Resource": "*",
"Effect": "Allow"
}
]
}
重新初始化
如果您不小心删除了阿里云实时计算在RAM角色”AliyunStreamDefaultRole”,或者您不小心修改了AliyunStreamDefaultRole的授权策略无法恢复。您可以考虑在RAM中删除该角色,并重新进入实时计算WebConsole,让实时计算尝试重新初始化注册RAM角色的流程。
注意:
- 删除AliyunStreamDefaultRole角色后,可能导致实时计算正在运行的作业瞬间无法读写上下游外部存储,直到后续重新初始化AliyunStreamDefaultRole角色后即可恢复正常。请务必确保这项操作对于线上实时计算业务是否会造成影响。
- RAM删除角色和流计算重新初始化操作均需要当前用户的主账号或者经主账号授权的具备RAM权限子账号操作。
在RAM中,找到角色管理>AliyunStreamDefaultRole>删除,即可删除阿里云实时计算的角色。
进入实时计算WebConsole,实时计算此时就会提示用户进行重新授权。
注意:实时计算和RAM对于授权均有不同程度的缓存,有可能在删除角色或者授权角色后,实时计算仍然提示需要授权角色。这种情况实际上已经授权成功,请选择授权完毕按钮即可。
异常问题
子账号在操作数据存储的时候会出现以下错误信息。
主子账号Role授权
进入RAM地址,进行以下操作为子账号赋权。
AliyunRAMFullAccess权限较大,如果您需要控制子账号的权限范围,只需授予PassRole权限,既可以修改授权策略的Action、Resource。如下示例:
说明:其中45643只是示例uid,请以实际uid为准
{
"Statement": [
{
"Action": "ram:PassRole",
"Effect": "Allow",
"Resource": "acs:ram::45643:role/AliyunStreamDefaultRole"
}
],
"Version": "1"
}
操作步骤
1.新建授权策略
2.授权子账号
3.搜索名称,授权完成
本文转自实时计算——角色授权
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Docker Enterprise 2.1 版本正式上线,全新特性先睹为快!
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五,与您不见不散! 上周,作为市场上领先的企业级容器平台,也是唯一一款专为 Windows 和 Linux 应用程序设计的容器平台 —— Docker Enterprise 2.1 版本正式上线。当 Docker Enterprise 2.1 版本与全新的 Windows Server 应用程序迁移计划中经过行业验证的工具和服务相结合时,组织就可以得到一个实现 Windows Server 应用程序现代化改造以及安全的最佳平台,同时为在任何地方的任何应用程序的持续创新奠定基础。 除了对 Windows Server 的扩展支持外,该版本还通过引入选择性、敏捷性和安全性等来满足企业的关键需求,进一步加强了我们的市场领导地位。 选择性:扩展对 Windows Server 和新 Kubernetes 功能的支持 除了 Windows Server 2016 之外,Docker Enterprise 2.1 版本还增加了对 Windows Server 1709、1803和 Windows Server 2019* 的支...
- 下一篇
实时计算Flink —— 独享模式系统架构
独享模式系统架构如下所示。 系统架构说明: 实时计算独享模式为全托管管理方式。您所购买的ECS都托管在实时计算VPC下,暂不提供用户登陆接口。如有登陆ECS的需求,请联系实时计算客服。 为了访问您的VPC内服务,会在创建集群时,在您账号下申请弹性网卡。通过弹性网卡,您即可访问其VPC下所有资源。 您的实时计算集群,如果需要访问公网,可在弹性网卡上绑定NAT网关及弹性公网IP,具体操作步骤,请参考阿里云官网文档。 实时计算在您的账号下的一个单独的安全组内,为您申请的弹性网卡。若您需访问VPC内其他安全组的服务,请配置该安全组的规则。 说明:在您不访问公网的情况下,弹性网卡不会对您产生任何额外费用。 本文转自实时计算—— 独享模式系统架构
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- 设置Eclipse缩进为4个空格,增强代码规范
- SpringBoot2配置默认Tomcat设置,开启更多高级功能
- CentOS7设置SWAP分区,小内存服务器的救世主
- Docker安装Oracle12C,快速搭建Oracle学习环境
- CentOS7编译安装Cmake3.16.3,解决mysql等软件编译问题
- CentOS7安装Docker,走上虚拟化容器引擎之路
- Mario游戏-低调大师作品
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- Jdk安装(Linux,MacOS,Windows),包含三大操作系统的最全安装
- SpringBoot2更换Tomcat为Jetty,小型站点的福音