Flink半托管/ACK访问您的K8s集群和OSS集群,需要您已完成Flink半托管/ACK角色授权。本文为您介绍如何为Flink半托管/ACK角色授权、如何查看权限策略,以及如何初始化权限策略。

注意 角色授权完成后,请不要随意删除Flink和K8s任何角色,否则创建集群会报错。

角色授权

Flink半托管/ACK角色授权的流程分为授权自动化角色添加授权策略两个步骤。在自动化角色授权的基础上,添加Flink半托管/ACK特有的授权策略后,即可开展Flink半托管/ACK的业务操作。

  1. 授权自动化角色
    1. 首次登录实时计算统一控制台,需要您进行角色授权。单击前往授权,进行角色授权。
      说明 角色授权提示,仅在您没有正确授予实时计算服务账号默认角色时出现。
    2. 单击AliyunStreamConsoleRole > 同意授权,完成角色授权。
  2. 添加授权策略
    完成RAM角色创建后,您可以将指定的授权策略添加至RAM角色中。实时计算支持以下两种添加授权策略的方式:
    • 添加AliyunRAMFullAccess权限
      1. 登录RAM控制台。
      2. RAM角色管理页面底部的RAM角色名称列中,单击AliyunStreamConsoleRole操作列下的添加权限
      3. 选择权限区域系统权限策略右侧文本框中输入AliyunRAMFullAccess
      4. 单击权限策略名称中的AliyunRAMFullAccess
      5. 单击确定
    • 精确授权
      如果您认为AliyunRAMFullAccess权限过大,也可以通过精确授权的方式为AliyunStreamConsoleRole授权。操作步骤如下:
      1. 登录RAM控制台。
      2. 在左侧导航栏,单击RAM角色管理
      3. RAM角色名称,找到目标RAM角色。
      4. 单击精确授权
      5. 权限类型选择为系统策略
      6. 输入策略名称中,输入AliyunStreamConsoleRolePolicy
      7. 单击确定
      8. 单击关闭

查看当前角色授权信息

您可以通过以下步骤查看当前已授权角色的信息。
  1. 登录RAM控制台
  2. RAM角色管理页面底部的RAM角色名称列中单击AliyunStreamConsoleRole
  3. AliyunStreamConsoleRole页面中单击权限管理 > AliyunStreamConsoleRolePolicy
  4. 策略内容页签内查看实时计算当前策略信息,如下所示。 
    {

"Version": "1",
"Statement": [
{
            "Action": [
                "cs:GetClusterById",
                "cs:GetClusters",
                "cs:GetUserConfig",
                "cs:GetClusters"
            ],
            "Resource": "*",
            "Effect": "Allow"
}
]
}

重新初始化

当您删除或修改AliyunStreamConsoleRolePolicy授权策略导致无法恢复时,您可以在RAM中删除AliyunStreamConsoleRole,并重新进入实时计算控制台,让实时计算重新授权自动化角色。

重新初始化步骤:
  1. 登录RAM控制台
  2. RAM角色管理页面底部的RAM角色名称列中,单击AliyunStreamConsoleRole
  3. AliyunStreamConsoleRole页面的权限管理页签中,单击AliyunStreamConsoleRolePolicy操作列下的移除权限
    说明 如果您已经删除AliyunStreamConsoleRolePolicy,则可跳过此步骤。
  4. 单击AliyunStreamConsoleRole页面底部的RAM角色管理
  5. RAM角色管理页面底部,单击AliyunStreamConsoleRole操作列下的删除
  6. 登录实时计算统一控制台
  7. 单击前往授权
  8. 单击同意授权
  9. 通过手机短信等验证方式,完成角色授权。
说明 对于授权,实时计算和RAM均有不同程度的缓存,有可能在删除角色或者授权角色后,实时计算仍然提示需要授权角色。此时系统已经完成授权任务,单击授权完毕即可。