数据湖探索 DLI-提交作业时提示作业桶权限不足怎么办？:排查方案

时间：2024-09-21 08:05:51

数据湖探索 DLI 运维指导

排查方案

在OBS管理控制台找到 DLI 作业桶。

查看所选桶的桶策略。

DLI Flink作业所需要使用的桶授权信息如下，其中domainId和userId分别为DLI的账号和子账号，bucketName为用户桶名，timeStamp为策略创建时的时间戳)

{
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "ID": [
                    "domain/domainId:user/userId"
                ]
            },
            "Action": [
                "GetObject",
                "GetObjectVersion",
                "PutObject",
                "DeleteObject",
                "DeleteObjectVersion",
                "ListMultipartUploadParts",
                "AbortMultipartUpload",
                "GetObjectAcl",
                "GetObjectVersionAcl"
            ],
            "Resource": [
                "bucketName/*"
            ],
            "Sid": "未命名的桶策略-Timestamp-0"
        },
        {
            "Effect": "Allow",
            "Principal": {
                "ID": [
                    "domain/domainId:user/userId "
                ]
            },
            "Action": [
                "HeadBucket",
                "ListBucket",
                "ListBucketVersions",
                "ListBucketMultipartUploads",
                "GetBucketAcl",
                "GetBucketLocation",
                "GetBucketLogging",
                "GetLifecycleConfiguration"
            ],
            "Resource": [
                " bucketName "
            ],
            "Sid": "未命名的桶策略-Timestamp-1"
        }
    ]
}

在管理控制台检查以下权限相关内容，查看策略名称是否与2一致。
- 效力：允许
- 授权资源：按需授权桶和对象。
- 授权操作：与2中Action一致
常用检查项：
- 检查是否配置了所有账号的某些拒绝操作，且这些操作是上述DLI所需要的授权操作。
- 检查是否对DLI的被授权用户配置了某些拒绝操作，且这些操作是上述DLI所需要的授权操作。