全部產品
Search
文件中心

ActionTrail:為RAM使用者授權

更新時間:Oct 25, 2024

為RAM使用者授予RAM的系統策略或自訂策略後,RAM使用者就能通過對應的許可權訪問阿里雲資源。您可以授予RAM使用者訪問和管理Action Trail的許可權,包括查詢事件、管理跟蹤、管理事件警示等。本文為您介紹如何為RAM使用者授予管理Action Trail的相關許可權。

前提條件

  • 請確保您已建立RAM使用者。具體操作,請參見建立RAM使用者

  • 請確保您已建立Action Trail服務關聯角色(AliyunServiceRoleForActionTrail)。具體操作,請參見建立服務關聯角色

操作步驟

  1. 登入RAM控制台

  2. 在左側導覽列,選擇身份管理 > 使用者

  3. 使用者頁面,單擊目標RAM使用者操作列的添加許可權

  4. 新增授權面板,選擇資源範圍,然後選擇權限原則

    1. 選擇資源範圍。

    2. 選擇授權主體。

      授權主體即需要添加許可權的RAM使用者。系統會自動選擇當前的RAM使用者。

    3. 選擇權限原則。

      權限原則是一組存取權限的集合,分為以下兩種。支援批量選中多條權限原則。

      • 系統策略:從策略名稱稱列表,選擇需要的許可權。

        權限原則名稱

        說明

        AliyunActionTrailReadOnlyAccess

        唯讀訪問Action Trail的許可權

        AliyunActionTrailFullAccess

        管理Action Trail的許可權

        AliyunOSSReadOnlyAccess

        唯讀訪問Object Storage Service服務許可權

        AliyunLogReadOnlyAccess

        唯讀訪問Log Service的許可權

      • 自訂策略:單擊所有策略類型,選擇自訂策略

        關於如何建立自訂策略,請參見建立自訂權限原則

        • 樣本一:授予RAM使用者Action Trail的所有許可權,以及擷取OSS Bucket列表和SLS Project列表的許可權,以便管理跟蹤。

          範例程式碼:

          {
              "Version": "1",
              "Statement": [
                  {
                      "Action": [
                          "actiontrail:*",
                          "oss:GetService",
                          "log:ListProject"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  }
              ]
          }
                                  

          許可權說明:

          Action

          說明

          oss:GetService

          擷取OSS Bucket列表的許可權

          log:ListProject

          擷取SLS Project列表的許可權

          actiontrail:*

          Action Trail所有操作的許可權

        • 樣本二:授予RAM使用者管理跟蹤和在Log ServiceSLS中管理Logstore、索引、看板、圖表、記錄項目的相關許可權,以便管理事件警示。

          範例程式碼:

          { 
              "Version": "1", 
              "Statement": [
                {
               "Effect": "Allow",
               "Action": [
                 "actiontrail:DescribeTrails",
                 "actiontrail:SetDefaultTrail",
                 "actiontrail:GetDefaultTrail",
                 "actiontrail:CreateTrail"
               ],
               "Resource": "*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateLogStore",
                 "log:CreateIndex",
                 "log:UpdateIndex"
               ],
               "Resource": [
                 "acs:log:*:*:project/Project名稱/logstore/internal-alert-history",
                 "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
               ]   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateDashboard",
                 "log:CreateChart",
                 "log:UpdateDashboard"
               ],
               "Resource": "acs:log:*:*:project/Project名稱/dashboard/*"
             },
             {
               "Effect": "Allow",
               "Action": [
                 "log:*"
               ],
               "Resource": "acs:log:*:*:project/Project名稱/job/*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateProject"
               ],
               "Resource": [
                 "acs:log:*:*:project/sls-alert-*"
               ]
             }
           ]
          }

          許可權說明:

          Action

          說明

          actiontrail:DescribeTrails

          查詢跟蹤

          actiontrail:SetDefaultTrail

          設定事件警示的預設跟蹤

          actiontrail:GetDefaultTrail

          擷取事件警示的預設跟蹤

          actiontrail:CreateTrail

          建立跟蹤

          log:CreateLogstore

          建立Logstore

          log:CreateIndex

          建立索引

          log:UpdateIndex

          更新索引

          log:CreateDashboard

          建立看板

          log:CreateChart

          建立圖表

          log:UpdateDashboard

          更新看板

          log:CreateProject

          建立記錄項目

    4. 單擊確認新增授權

  5. 單擊關閉

相關文檔