本文档为 Oceanus 子用户权限配置指引,子用户的权限需要主账号进行授权(如您是子用户,请联系您主账号的持有人配置授权),具体授权步骤请您参考下文,按下文授权后子用户即可正常使用。
权限一:CAM 访问管理
为子用户设置 Oceanus 访问授权
主账号默认拥有访问流计算 Oceanus 所有资源的权限,子账号默认不拥有访问流计算 Oceanus 资源的权限,此时若以子账号访问 Oceanus 会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略 QcloudOceanusFullAccess 授权给用户。通过主账号对子账号授予策略 QcloudOceanusFullAccess,来帮助子账号拥有访问流计算 Oceanus 的权限。
为子用户设置标签访问授权
主账号默认拥有访问标签的权限,以子账号设置 Oceanus 作业标签或集群信息标签会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略 QcloudTAGFullAccess 授权给用户。通过主账号对子账号授予策略 QcloudTAGFullAccess,来帮助子账号拥有访问标签的权限。
为子用户设置腾讯云可观测平台访问授权
主账号默认拥有访问腾讯云可观测平台的权限,可以对流计算 Oceanus 实行监控告警,以子账号访问腾讯云可观测平台会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略 QcloudMonitorFullAccess 授权给用户。通过主账号对子账号授予策略 QcloudMonitorFullAccess,来帮助子账号拥有访问腾讯云可观测平台的权限。
权限二:服务委托授权
流计算底层的系统服务需要获得您的授权委托,来正常访问客户 VPC 下的 CKafka、COS、CLS 等各种云服务资源,这是流计算 Oceanus 系统正常运行所需要的最基础的授权。
在使用流计算 Oceanus 过程中,涉及此授权时,系统会自动弹出授权界面,可以进行自动授权操作。
注意:
至此,您刚配置好权限一和权限二的子用户可以正常的访问 Oceanus 产品以及在 Oceanus 产品内正常访问客户 VPC 下的 CKafka、COS、CLS 等各种云服务资源。如您需要设置流计算 Oceanus 提供的对作业、资源更细粒度的权限管理,请参考Oceanus 空间角色权限。
