本文介绍流式计算 Flink 的项目资源权限管理的基本信息,以帮助您在项目中更方便的进行权限细粒度管控。
背景信息
流式计算 Flink 版在 IAM 鉴权体系基础上,加入了项目和资源级别的权限管控策略。请查看下表中的几个概念,能有效的帮助您了解 Flink 中的项目权限管控机制。
名词 | 描述 |
|---|---|
主账号 (Account) | 主账号是资源归属的主体,一般使用用户名作为账号的登录标识。 |
子用户 (User) | 子用户,又称 IAM 用户,是主账号下的授权实体,也是主账号的一种资源。 |
项目负责人 | 项目负责人是项目的唯一负责人,拥有项目内所有权限。 |
成员 | IAM 用户被导入到 Flink 控制台后,可以被添加为项目成员。 |
角色 | 角色是一组权限策略的集合,也可以理解为是一个拥有相同权限的用户组。
|
策略 | 随着在项目中使用资源、元数据、服务等对象,系统会在项目中自动创建对应的系统预制策略;同时支持添加自定义细粒度权限策略。 |
项目隔离
仅支持主账号在项目控制台创建、在 Flink 控制台导入项目。不同项目相互隔离,相互独立。
主账号拥有其下所有项目及项目资源的权限;项目负责人和项目成员只拥有当前项目的相关权限。
项目权限管控
权限模型采用 RBAC (Role Based Access Control)模型,即基于角色的权限访问控制,在访问者和资源之间引入了“角色(role)”概念,角色关联资源权限,访问者再通过关联角色实现间接授权。
主账号创建项目时可以指定项目负责人。
项目负责人是当前项目的唯一负责人,由项目负责人管理项目成员、角色和策略。
项目权限管理有两种方式:一种是直接为用户关联系统预设角色;另一种是新建自定义角色,为自定义角色绑定某些资源和服务策略,然后再关联目标成员。