RAM授权流程

您需要两步完成ram授权流程:

  1. 页面中完成角色授权链接。
  2. 跳转到ram权限管理,增加 AliyunMarketplaceFullAccess 权限,https://ram.console.aliyun.com/permissions

场景一 (主账号登陆)

1、如果您第一次进入 Confluent 管控台,首先进行RAM角色授权

SLB 相关授权 权限描述:为了能从公网访问开发控制台,需要在您的账号下开通按量付费”sld.s1.small”型SLB实例,网络类型为-私网,该SLB仅收取规格费。 注意事项:按量付费SLB服务会产生额外费用。查看计费规则
ECS 相关授权 权限描述:在您VPC下创建ENI,以连通您VPC内的相关资源,这些ENI会被放到CSP的专属安全组中,因此需要对ENI/安全组的访问权限。
VPC 相关授权 权限描述:为了开通方便,需要部分VPC内资源的Describe权限。

OSS 相关授权 权限描述:获取您OSS的Bucket信息,以便能成功获取CSP的Jar包和将CSP作业的日志、Savepoint、checkpoint等信息写入您对应的OSS中。
RAM 相关授权 权限描述:开通过程中需要RAM相关权限进行资源配置。

image.png a)授权详情页,点击同意授权,完成AliyunStreamAsiDefaultRole角色创建
image.png

2、跳转到ram权限管理页面,增加 AliyunMarketplaceFullAccess 权限,完成跨服务授权

  1. a)进入 [https://ram.console.aliyun.com/permissions](https://ram.console.aliyun.com/permissions) 页面,点击新增授权->选择权限->系统策略->搜索 _AliyunMarketplaceFullAccess_,该权限为管理云市场marketplace的权限,为该角色 _AliyunStreamAsiDefaultRole@role.[您的主账号uid].onaliyunservice.com_ 选择该权限<br />![image.png](https://cdn.nlark.com/yuque/0/2021/png/184143/1632808815059-7aadf88a-0241-4246-a74b-1f59218f9aa1.png#clientId=ua0740e19-979b-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=1301&id=JHbEi&margin=%5Bobject%20Object%5D&name=image.png&originHeight=2602&originWidth=3984&originalType=binary&ratio=1&rotation=0&showTitle=false&size=1005939&status=done&style=none&taskId=u0c278b65-50f8-49bd-8e58-c58ab48cccc&title=&width=1992)<br />    b)完成授权后,您的权限管理页面应该包含如下两个权限点:<br />![image.png](https://cdn.nlark.com/yuque/0/2021/png/184143/1632736908016-236527db-b09c-4271-a2ca-367dc32ded55.png#clientId=u4bc8366a-7d22-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=464&id=yvEdU&margin=%5Bobject%20Object%5D&name=image.png&originHeight=928&originWidth=3098&originalType=binary&ratio=1&rotation=0&showTitle=false&size=520009&status=done&style=none&taskId=ue2dd9baa-c4ca-4191-a9ba-2f86d2ac23e&title=&width=1549)

注:若未进行AliyunMarketplaceFullAccess授权,点击配置集群时会出现如下错误,根据提示授权即可

image.png

场景二(子账号登陆,首先需要进行创建角色授权、云市场授权、管理费用授权的前置操作)

1、【创建角色授权】若希望子账号创建角色,需要通过主账号赋予子账号创建角色权限(AliyunRAMFullAccess),或者添加自定义权限管理策略,否则后续无法创建AliyunStreamAsiDefaultRole角色,出现如下错误

image.png

授权子账号创建角色权限(AliyunRAMFullAccess)步骤如下:

a) 进入Ram控制台页面https://ram.console.aliyun.com/users,选择对应的子账号->添加权限->搜索 AliyunRAMFullAccess ->选择并确定,该权限为管理用户及授权的权限
image.png

此外,也可以添加自定义的权限管理策略,策略内容如下:

{
    "Statement": [
        {
            "Action": [
                "ram:CreateRole",
                "ram:AttachPolicyToRole"
            ],
            "Resource": [
                "acs:ram:*:*:role/AliyunStreamAsiDefaultRole",
                "acs:ram:*:system:policy/AliyunStreamAsiDefaultRolePolicy"
            ],
            "Effect": "Allow"
        }
    ],
    "Version": "1"
}

授权子账号自定义权限管理策略步骤如下:

a)进入[https://ram.console.aliyun.com/policies](https://ram.console.aliyun.com/policies)页面,点击权限策略->脚本编辑->添加上述策略,该策略为创建角色的权限策略<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/2711725/1652078274734-8288682d-63a5-463c-8792-a71d04931a35.png#clientId=u9ca59500-996c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=716&id=pMPvp&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1432&originWidth=3550&originalType=binary&ratio=1&rotation=0&showTitle=false&size=826355&status=done&style=none&taskId=u78bb8806-e77b-4568-bf67-a08447e3793&title=&width=1775)<br />    b)输入策略名称和相应的备注(可选项)<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/2711725/1652078274576-23c6ec23-6d99-4fc3-a360-c74bf525a2a2.png#clientId=u9ca59500-996c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=766&id=I43Vp&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1532&originWidth=3542&originalType=binary&ratio=1&rotation=0&showTitle=false&size=752117&status=done&style=none&taskId=u81271b2a-98ea-4213-b776-61e76a738d4&title=&width=1771)<br />    c)进入Ram控制台页面[https://ram.console.aliyun.com/users](https://ram.console.aliyun.com/users),选择对应的子账号->添加权限->自定义策略->搜索上一步输入的策略名称->选择并确定,即可完成子账号的创建角色授权<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/2711725/1652078276320-2df5d190-1eeb-4a9e-a54a-eef20093334b.png#clientId=u9ca59500-996c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=608&id=q7KLD&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1216&originWidth=1724&originalType=binary&ratio=1&rotation=0&showTitle=false&size=427313&status=done&style=none&taskId=ua3d795e7-64db-4a31-b5ce-1469c5cc0e5&title=&width=862)

2、【云市场授权】若希望查看云市场控制台详情,或者点击购买集群,需要通过主账号赋予子账号云市场权限(AliyunMarketplaceFullAccess),否则无法进入云市场控制台,会出现如下错误

image.png
image.png

授权子账号云市场权限(AliyunMarketplaceFullAccess)步骤如下:

a) 进入Ram控制台页面[https://ram.console.aliyun.com/users](https://ram.console.aliyun.com/users),选择对应的子账号->添加权限->搜索 _AliyunMarketplaceFullAccess _->选择并确定,该权限为管理云市场marketplace的权限<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/2711725/1652078276392-b1b9c6c4-491c-4677-86a4-4e81b5c887ff.png#clientId=u9ca59500-996c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=694&id=sNHnh&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1388&originWidth=1728&originalType=binary&ratio=1&rotation=0&showTitle=false&size=458547&status=done&style=none&taskId=udd2f9ad5-d637-4319-aa5d-64e550fbbed&title=&width=864)

3、【管理费用授权】购买集群支付订单时,需要通过主账号赋予子账号管理费用权限(AliyunBSSFullAccess),否则出现以下错误

image.png

授权子账号费用管理权限(AliyunBSSFullAccess)步骤如下:

a)进入Ram控制台页面[https://ram.console.aliyun.com/users](https://ram.console.aliyun.com/users),选择对应的子账号->添加权限->搜索 AliyunBSSFullAccess_ _->选择并确定,该权限为管理费用中心的权限<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/2711725/1652078277074-e4e7a181-3f8e-47a5-8f23-2d58b86a5e2e.png#clientId=u9ca59500-996c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=606&id=VVt7U&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1212&originWidth=1720&originalType=binary&ratio=1&rotation=0&showTitle=false&size=425956&status=done&style=none&taskId=u13a79e3a-6153-412d-bb63-83ae4af6832&title=&width=860)

4、登陆confluent控制台进行角色授权,与【场景一】步骤一致,若主账号已完成过AliyunStreamAsiDefaultRole角色创建,则无需再次操作

5、另外,ram子账号访问集群实例相关接口需要进行授权,否则无法查看集群列表,如下图所示,赋予子账号自定义csp接口访问权限后即可访问集群详情

image.png

授权子账号自定义csp接口访问权限步骤如下:

a)进入[https://ram.console.aliyun.com/policies](https://ram.console.aliyun.com/policies)页面,点击权限策略->脚本编辑->添加如下策略,该策略为访问csp全部接口的权限

{
    "Statement": [
        {
            "Action": "csp:*",
            "Effect": "Allow",
            "Resource": "*"
        }
    ],
    "Version": "1"
}

image.png
b)输入策略名称和相应的备注(可选项)
image.png
c)进入Ram控制台页面https://ram.console.aliyun.com/users,选择对应的子账号->添加权限->自定义策略->搜索上一步输入的策略名称->选择并确定,即可完成子账号的csp接口访问授权
image.png

注:若配置集群时出现如下错误,请通过主账号赋予子账号vpc访问权限(AliyunVPCFullAccess)

image.png

授权子账号vpc访问权限(AliyunVPCFullAccess)步骤如下:

a)进入Ram控制台页面[https://ram.console.aliyun.com/users](https://ram.console.aliyun.com/users),选择对应的子账号->添加权限->搜索 AliyunVPCFullAccess_ _->选择并确定,该权限为管理专有网络(VPC)的权限<br />![image.png](https://cdn.nlark.com/yuque/0/2022/png/2711725/1652078279133-84d99dd6-1289-4851-a6ab-74dc38782e4a.png#clientId=u9ca59500-996c-4&crop=0&crop=0&crop=1&crop=1&from=paste&height=612&id=cFlEx&margin=%5Bobject%20Object%5D&name=image.png&originHeight=1224&originWidth=1732&originalType=binary&ratio=1&rotation=0&showTitle=false&size=428863&status=done&style=none&taskId=u958ac52f-a143-4259-a934-15648913a40&title=&width=866)

场景三(sts账号登陆,操作与【场景二】子账号登陆一致,见上文)

1、添加权限时,为登陆的角色添加即可

注:通过sts账号登录时,要确保子账号已被授权过AliyunSTSAssumeRoleAccess,否则sts账号没有登录权限(sts账号是由子账户授权扮演角色)