- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- SQL 开发指南
- 开发指南概述
- 术语和数据类型
- DDL 数据定义语句
- DML 数据操作语句
- MySQL CDC 多 Source 复用
- 上下游开发指南
- 消息队列 Kafka
- 消息队列 Upsert Kafka
- 消息队列 CMQ
- 消息队列 TDMQ RabbitMQ
- 数据库 MySQL CDC
- 消息队列 Pulsar
- 数据库 TDSQL-MySQL
- 数据库 Redis
- 数据库 MongoDB CDC
- 数据库 MongoDB
- 数据库 PostgreSQL CDC
- 数据库 HBase
- 数据仓库 Hive
- 数据仓库 ClickHouse
- 数据湖计算 DLC
- 数据仓库 Kudu
- 云数据仓库 PostgreSQL
- 数据库连接 JDBC
- 文件系统 FileSystem
- 模拟上下游 Datagen Logger Blackhole
- 自定义 Connector
- 数据湖 Hudi
- 数据湖 Iceberg
- 数据库 SQLServer CDC
- 数据库 StarRocks
- SET 控制语句
- 运算符和内置函数
- 标识符与保留字
- Python 开发指南
- ETL 开发指南
- 常见问题
- 联系我们
- 动态与公告
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- SQL 开发指南
- 开发指南概述
- 术语和数据类型
- DDL 数据定义语句
- DML 数据操作语句
- MySQL CDC 多 Source 复用
- 上下游开发指南
- 消息队列 Kafka
- 消息队列 Upsert Kafka
- 消息队列 CMQ
- 消息队列 TDMQ RabbitMQ
- 数据库 MySQL CDC
- 消息队列 Pulsar
- 数据库 TDSQL-MySQL
- 数据库 Redis
- 数据库 MongoDB CDC
- 数据库 MongoDB
- 数据库 PostgreSQL CDC
- 数据库 HBase
- 数据仓库 Hive
- 数据仓库 ClickHouse
- 数据湖计算 DLC
- 数据仓库 Kudu
- 云数据仓库 PostgreSQL
- 数据库连接 JDBC
- 文件系统 FileSystem
- 模拟上下游 Datagen Logger Blackhole
- 自定义 Connector
- 数据湖 Hudi
- 数据湖 Iceberg
- 数据库 SQLServer CDC
- 数据库 StarRocks
- SET 控制语句
- 运算符和内置函数
- 标识符与保留字
- Python 开发指南
- ETL 开发指南
- 常见问题
- 联系我们
基础权限配置指引
最后更新时间:2023-11-08 10:28:48
本文档为 Oceanus 子用户权限配置指引,子用户的权限需要主账号进行授权(如您是子用户,请联系您主账号的持有人配置授权),具体授权步骤请您参考下文,按下文授权后子用户即可正常使用。
权限一:CAM 访问管理
为子用户设置 Oceanus 访问授权
主账号默认拥有访问流计算 Oceanus 所有资源的权限,子账号默认不拥有访问流计算 Oceanus 资源的权限,此时若以子账号访问 Oceanus 会受到 CAM 的鉴权错误提示。
可参考 授权管理,或者前往 访问管理 将预设策略 QcloudOceanusFullAccess 授权给用户。通过主账号对子账号授予策略 QcloudOceanusFullAccess,来帮助子账号拥有访问流计算 Oceanus 的权限,详情参见 CAM 访问管理。
权限二:服务委托授权
流计算底层的系统服务需要获得您的授权委托,来正常访问客户 VPC 下的 CKafka、COS、CLS 等各种云服务资源,这是流计算 Oceanus 系统正常运行所需要的最基础的授权。
此权限有两种配置方式,第一种为:在使用流计算 Oceanus 过程中,涉及此授权时,系统会自动弹出授权界面。但是只有主账户、拥有
QcloudCamRoleFullAccess 权限的子用户、拥有 QcloudCamSubaccountsAuthorizeRoleFullAccess 权限的子用户可以进行自动授权操作。第二种为子账号额外 PassRole 授权,如下所示。
子账号额外的 PassRole 授权
用户以子账号身份登录,且已完成上述授权操作,成功创建 Oceanus_QCSRole 角色后,流计算底层系统服务仍然无法成功申请扮演 Oceanus_QCSRole 角色。
此时,需要主账号或具有管理权限的子账号,对子账号授予 PassRole 权限,使其可以传递流计算角色给底层系统服务。这样在子账号登录时,流计算底层系统服务就可以访问客户 VPC 下的 CKafka、COS、CLS 等其他云服务资源。
具体操作:使用主账号或具有管理权限的子账号新建策略,然后授权给子账号
cam:PassRole 权限。策略内容
{"version": "2.0","statement": [{"effect": "allow","action": "cam:PassRole","resource": "qcs::cam::uin/${OwnerUin}:roleName/Oceanus_QCSRole"}]}
说明
创建策略请参见 创建自定义策略。
授权请参见 授权管理。
操作步骤
1. 进入 按策略语法创建 策略页面,选择空白模板:
2. 在编辑策略页面,填入上文的策略(注意替换主账号的 UIN)。
3. 返回 策略 页面,搜索刚创建的策略,关联对应的子用户/用户组。
4. 选择需要授权的子用户,并单击确定。
注意:
至此,您刚配置好权限一和权限二的子用户可以正常的访问 Oceanus 产品以及在 Oceanus 产品内正常访问客户 VPC 下的 CKafka、COS、CLS 等各种云服务资源。如您需要设置流计算 Oceanus 提供的对作业、资源更细粒度的权限管理,请参考Oceanus 空间角色权限。
是
否
本页内容是否解决了您的问题?