為RAM使用者授予RAM的系統策略或自訂策略後,RAM使用者就能通過對應的許可權訪問阿里雲資源。您可以授予RAM使用者訪問和管理Action Trail的許可權,包括查詢事件、管理跟蹤、管理事件警示等。本文為您介紹如何為RAM使用者授予管理Action Trail的相關許可權。
前提條件
操作步驟
登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者操作列的添加許可權。
在新增授權面板,選擇資源範圍,然後選擇權限原則。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
重要指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。資源群組授權樣本,請參見使用雲SSO實現多帳號情境下的身份許可權管理。
選擇授權主體。
授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。
選擇權限原則。
權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。
系統策略:從策略名稱稱列表,選擇需要的許可權。
權限原則名稱
說明
AliyunActionTrailReadOnlyAccess
唯讀訪問Action Trail的許可權
AliyunActionTrailFullAccess
管理Action Trail的許可權
AliyunOSSReadOnlyAccess
唯讀訪問Object Storage Service服務許可權
AliyunLogReadOnlyAccess
唯讀訪問Log Service的許可權
自訂策略:單擊所有策略類型,選擇自訂策略。
關於如何建立自訂策略,請參見建立自訂權限原則。
樣本一:授予RAM使用者Action Trail的所有許可權,以及擷取OSS Bucket列表和SLS Project列表的許可權,以便管理跟蹤。
範例程式碼:
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:*", "oss:GetService", "log:ListProject" ], "Resource": "*", "Effect": "Allow" } ] }
許可權說明:
Action
說明
oss:GetService
擷取OSS Bucket列表的許可權
log:ListProject
擷取SLS Project列表的許可權
actiontrail:*
Action Trail所有操作的許可權
樣本二:授予RAM使用者管理跟蹤和在Log ServiceSLS中管理Logstore、索引、看板、圖表、記錄項目的相關許可權,以便管理事件警示。
範例程式碼:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "actiontrail:DescribeTrails", "actiontrail:SetDefaultTrail", "actiontrail:GetDefaultTrail", "actiontrail:CreateTrail" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project名稱/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": "acs:log:*:*:project/Project名稱/dashboard/*" }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] } ] }
許可權說明:
Action
說明
actiontrail:DescribeTrails
查詢跟蹤
actiontrail:SetDefaultTrail
設定事件警示的預設跟蹤
actiontrail:GetDefaultTrail
擷取事件警示的預設跟蹤
actiontrail:CreateTrail
建立跟蹤
log:CreateLogstore
建立Logstore
log:CreateIndex
建立索引
log:UpdateIndex
更新索引
log:CreateDashboard
建立看板
log:CreateChart
建立圖表
log:UpdateDashboard
更新看板
log:CreateProject
建立記錄項目
單擊確認新增授權。
單擊關閉。
相關文檔
關於為RAM使用者授權的更多方式,請參見為RAM使用者授權。
您還可以使用API添加RAM使用者的相關許可權,具體操作,請參見AttachPolicyToUser - 為指定使用者添加許可權。