ActionTrail：為RAM使用者授權

操作步驟

1. 登入RAM控制台。

2. 在左側導覽列，選擇身份管理 > 使用者。

3. 在使用者頁面，單擊目標RAM使用者操作列的添加許可權。

4. 在新增授權面板，選擇資源範圍，然後選擇權限原則。

   1. 選擇資源範圍。

      • 帳號層級：許可權在當前阿里雲帳號內生效。

      • 資源群組層級：許可權在指定的資源群組內生效。

        重要

        指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組，詳情請參見支援資源群組的雲端服務。資源群組授權樣本，請參見使用雲SSO實現多帳號情境下的身份許可權管理。

   2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

   3. 選擇權限原則。

      權限原則是一組存取權限的集合，分為以下兩種。支援批量選中多條權限原則。

      • 系統策略：從策略名稱稱列表，選擇需要的許可權。

        權限原則名稱	說明
        AliyunActionTrailReadOnlyAccess	唯讀訪問Action Trail的許可權
        AliyunActionTrailFullAccess	管理Action Trail的許可權
        AliyunOSSReadOnlyAccess	唯讀訪問Object Storage Service服務許可權
        AliyunLogReadOnlyAccess	唯讀訪問Log Service的許可權

      • 自訂策略：單擊所有策略類型，選擇自訂策略。

        關於如何建立自訂策略，請參見建立自訂權限原則。

        • 樣本一：授予RAM使用者Action Trail的所有許可權，以及擷取OSS Bucket列表和SLS Project列表的許可權，以便管理跟蹤。

          範例程式碼：

          {
              "Version": "1",
              "Statement": [
                  {
                      "Action": [
                          "actiontrail:*",
                          "oss:GetService",
                          "log:ListProject"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  }
              ]
          }
                                  

          許可權說明：

          Action	說明
          oss:GetService	擷取OSS Bucket列表的許可權
          log:ListProject	擷取SLS Project列表的許可權
          actiontrail:*	Action Trail所有操作的許可權

        • 樣本二：授予RAM使用者管理跟蹤和在Log ServiceSLS中管理Logstore、索引、看板、圖表、記錄項目的相關許可權，以便管理事件警示。

          範例程式碼：

          { 
              "Version": "1", 
              "Statement": [
                {
               "Effect": "Allow",
               "Action": [
                 "actiontrail:DescribeTrails",
                 "actiontrail:SetDefaultTrail",
                 "actiontrail:GetDefaultTrail",
                 "actiontrail:CreateTrail"
               ],
               "Resource": "*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateLogStore",
                 "log:CreateIndex",
                 "log:UpdateIndex"
               ],
               "Resource": [
                 "acs:log:*:*:project/Project名稱/logstore/internal-alert-history",
                 "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
               ]   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateDashboard",
                 "log:CreateChart",
                 "log:UpdateDashboard"
               ],
               "Resource": "acs:log:*:*:project/Project名稱/dashboard/*"
             },
             {
               "Effect": "Allow",
               "Action": [
                 "log:*"
               ],
               "Resource": "acs:log:*:*:project/Project名稱/job/*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateProject"
               ],
               "Resource": [
                 "acs:log:*:*:project/sls-alert-*"
               ]
             }
           ]
          }

          許可權說明：

          Action	說明
          actiontrail:DescribeTrails	查詢跟蹤
          actiontrail:SetDefaultTrail	設定事件警示的預設跟蹤
          actiontrail:GetDefaultTrail	擷取事件警示的預設跟蹤
          actiontrail:CreateTrail	建立跟蹤
          log:CreateLogstore	建立Logstore
          log:CreateIndex	建立索引
          log:UpdateIndex	更新索引
          log:CreateDashboard	建立看板
          log:CreateChart	建立圖表
          log:UpdateDashboard	更新看板
          log:CreateProject	建立記錄項目

   4. 單擊確認新增授權。

5. 單擊關閉。