最近更新时间:2024-10-09 15:00:07
为确保IAM用户(子账号)能够正常使用KMR Severless Spark服务,您需要使用金山云主账号登录访问控制IAM控制台,授予IAM用户KMR权限:KMRFullAccess,以及KS3特定权限。
KS3特定权限说明
开通Spark服务的主账号默认具备金山云KS3 Bucket:krn:ksc:ks3:::bj-serverless-spark-online的权限,该Bucket用于存储已完成的Spark作业信息,子账号则需要主账号创建用户策略并授权才能拥有该部分权限,步骤一将对创建KS3特定权限过程进行详细说明。
使用主账号登录金山云控制台 > 访问控制。
在左侧导航栏权限管理中,单击策略。
在策略管理页面,选择自定义策略,单击新建策略。
在新建策略页面,自定义填写策略名称,策略类型选择策略语法,策略模板选择空白模板,单击下一步。
在编辑策略页面,定义策略,策略语言参考如下:
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": "ks3:ListBuckets",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"ks3:*"
],
"Resource": [
"krn:ksc:ks3:::bj-serverless-spark-online",
"krn:ksc:ks3:::bj-serverless-spark-online/*",
"krn:ksc:ks3:::子账号使用bucket*"
]
}
]
}
单击下一步,完成创建KS3特定权限策略。
注意:
"krn:ksc:ks3:::bj-serverless-spark-online",
"krn:ksc:ks3:::bj-serverless-spark-online/*"
为金山云设置存储已完成的Spark作业信息的KS3 Bucket,为保证子账号的Spark服务正常运行,必须填写;
"krn:ksc:ks3:::子账号使用bucket*"
非必填,用户可根据自身业务需要填写子账号可使用的bucket。
使用主账号登录金山云控制台 > 访问控制
在左侧导航栏人员管理中,单击子用户
在子用户页面,选择您要授权的子用户,单击添加权限。若未创建子用户,请先进行创建,步骤详见创建子用户。
在添加权限页面,在权限列表中选择授予您在步骤一中创建的KS3特定权限及KMR权限:KMRFullAccess。
单击确认,完成子用户授权。
相关文档:用户策略说明
纯净模式