流计算服务委托授权

最近更新时间:2019-10-23 17:32:40

流计算底层的系统服务需要获得您的授权委托,来正常访问客户 VPC 下的 CKafka、COS 等各种云服务资源,这是流计算 Oceanus 系统正常运行所需要的最基础的授权。此权限无须主动寻找和配置,在使用流计算 Oceanus 过程中,涉及此授权时,系统会自动弹出授权界面。

授权时机和自动化授权过程

当进入任何一个流计算作业的【分析开发】,如果未对流计算底层系统服务授权,弹出【流计算角色授权】页面如下:
角色授权弹框

说明:

此授权只会确认一次,如果您已经授权,则不会再出现这个弹框。

单击【前往授权】,会跳转到访问管理(CAM)的角色授权界面:
访问管理控制台角色授权界面
单击【同意授权】,将创建 Oceanus_QCSRole 角色(它包含所需要的权限,如访问客户 Ckafka、COS 等资源),并将此角色授予流计算底层系统服务。

子帐号额外的 PassRole 授权

用户以子账号身份登录,且已完成上述授权操作,成功创建 Oceanus_QCSRole 角色后,流计算底层系统服务仍然无法成功申请扮演 Oceanus_QCSRole 角色。此时,需要主帐号或具有管理权限的子账号,对子账号授予 PassRole 权限,使其可以传递流计算角色给底层系统服务。这样在子帐号登录时,流计算底层系统服务就可以访问客户 VPC 下的 CKafka 等其他云服务资源。

具体操作:使用主账号或具有管理权限的子账号创建如下自定义策略,授权给子账号 cam:PassRole 权限。

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": "cam:PassRole",
            "resource": "qcs::cam::uin/${OwnerUin}:roleName/Oceanus_QCSRole"
        }
    ]
}
说明:

上述策略中 OwnerUin 就是主帐号的帐号 ID。

创建策略请参考 创建自定义策略

授权请参考 授权操作指南