You need to enable JavaScript to run this app.
导航

权限概述

最近更新时间2023.04.20 17:34:39

首次发布时间2022.08.01 18:46:45

本文介绍流式计算 Flink 的项目资源权限管理的基本信息,以帮助您在项目中更方便的进行权限细粒度管控。

背景信息

流式计算 Flink 版在 IAM 鉴权体系基础上,加入了项目和资源级别的权限管控策略。请查看下表中的几个概念,能有效的帮助您了解 Flink 中的项目权限管控机制。

名词

描述

主账号 (Account)

主账号是资源归属的主体,一般使用用户名作为账号的登录标识。
服务资源可被所属主账号随意操作和访问。

子用户 (User)

子用户,又称 IAM 用户,是主账号下的授权实体,也是主账号的一种资源。
IAM 用户被主账号创建时,被设置了密码和访问密钥,可以登录控制台。默认情况下,IAM 用户没有任何权限,且不拥有任何服务资源。

项目负责人

项目负责人是项目的唯一负责人,拥有项目内所有权限。
项目负责人本质上也是项目成员之一,支持将转负责人权限转让给其他成员

成员

IAM 用户被导入到 Flink 控制台后,可以被添加为项目成员。
项目负责人负责添加项目成员,并关联相关角色。成员关联角色后即拥有该角色的权限。

角色

角色是一组权限策略的集合,也可以理解为是一个拥有相同权限的用户组。
项目中预设了 Project_Admin、Project_Dev、Project_OPS 和 Project_Member 四种角色,同时也支持添加自定义角色。

  • Project_Admin:项目管理员。主要负责管理项目成员、角色和策略,以及资源池管理等全部权限。
  • Project_Dev:任务开发人员。拥有开发任务所需权限,如任务的创建、调试、删除等权限。
  • Project_OPS:任务运维人员。拥有任务的启动、停止、上下线等权限。
  • Project_Member:项目普通用户。仅拥有查看任务、资源池等项目资源的权限。

策略

随着在项目中使用资源、元数据、服务等对象,系统会在项目中自动创建对应的系统预制策略;同时支持添加自定义细粒度权限策略。
策略需要与角色关联,然后角色再与成员关联,从而实现成员的权限管控。

项目隔离

项目由主账号创建,主账号拥有其下所有项目及项目资源的权限;项目负责人和项目成员只拥有当前项目的相关权限。
不同项目空间相互隔离,相互独立。

项目权限管控

权限模型采用 RBAC (Role Based Access Control)模型,即基于角色的权限访问控制,在访问者和资源之间引入了“角色(role)”概念,角色关联资源权限,访问者再通过关联角色实现间接授权。
主账号创建项目时可以指定项目负责人。
图片

项目负责人是当前项目的唯一负责人,由项目负责人管理项目成员、角色和策略。
项目权限管理有两种方式:一种是直接为用户关联系统预设角色;另一种是新建自定义角色,为自定义角色绑定某些资源和服务策略,然后再关联目标成员。
图片