RAM使用者(子帳號)使用傳統型負載平衡CLB訪問日誌功能前,需要阿里雲帳號(主帳號)對其進行授權。
前提條件
阿里雲帳號(主帳號)已開通日誌訪問功能。具體操作,請參見開通訪問日誌功能。
建立授權策略
本文為您介紹通過指令碼編輯模式建立自訂權限原則。如需通過可視化編輯模式建立自訂權限原則,請參見通過可視化編輯模式建立自訂權限原則。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
輸入權限原則內容,然後單擊確定。
{ "Statement": [ { "Action": [ "slb:Create*", "slb:List*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*" }, { "Action": [ "log:Create*", "log:List*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*" }, { "Action": [ "log:Create*", "log:List*", "log:Get*", "log:Update*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*/logstore/*" }, { "Action": [ "log:Create*", "log:List*", "log:Get*", "log:Update*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*/dashboard/*" }, { "Action": "cms:QueryMetric*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "slb:Describe*", "slb:DeleteAccessLogsDownloadAttribute", "slb:SetAccessLogsDownloadAttribute", "slb:DescribeAccessLogsDownloadAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ram:Get*", "ram:ListRoles" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }輸入權限原則名稱和備忘。
單擊確定。
給RAM使用者(子帳號)授權
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在授權頁面,單擊新增授權。
選擇資源範圍。
帳號層級:許可權在當前阿里雲帳號內生效。
資源群組層級:許可權在指定的資源群組內生效。
說明指定資源群組授權生效的前提是該雲端服務及資源類型已支援資源群組,詳情請參見支援資源群組的雲端服務。
選擇授權主體。
授權主體即需要添加許可權的RAM角色。支援批量選中多個RAM角色。
選擇權限原則。
權限原則是一組存取權限的集合。支援批量選中多條權限原則。
系統策略:由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。更多資訊,請參見支援RAM的雲端服務。
說明系統會自動標識出高風險系統策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授權時,盡量避免授予不必要的高風險權限原則。
自訂策略:由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。更多資訊,請參見建立自訂權限原則。
單擊確認新增授權。
單擊關閉。返回頁面,確認該使用者已具有建立的權限原則,則可以使用CLB日誌訪問功能。