全部產品
Search
文件中心

Simple Log Service:配置許可權助手

更新時間:Dec 17, 2024

Log Service提供許可權助手功能,簡化Log Service相關的RAM權限原則配置。本文介紹如何在Log Service控制台上配置許可權助手。

操作步驟

  1. 登入Log Service控制台

  2. 在Project列表地區,單擊目標Project。

    image

  3. 在左側導覽列中,選擇其他 > 許可權助手

  4. 許可權助手頁面,完成如下配置,並單擊下一步

    模式包括普通專案APP,具體配置如下表所示。

    • 普通專案

      普通專案模式包括Log Service的所有功能模組許可權的配置。

      參數

      說明

      預設角色選擇

      不同的角色已配置不同的功能模組,您可以根據需求選擇已預設的角色,也可以自訂選擇功能模組。

      功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。

      重要

      功能模組之間存在依賴關係如下所示:

      • 必須設定項目的唯讀或系統管理權限,否則無法操作其他功能。

      • 資料接入模組依賴於Logstore模組,所以勾選資料接入中的任意一項都會預設勾選Logstore模組。

      • 可視化模組依賴於資料查詢模組。

      • 警示、訂閱和資料接入(雲產品接入)等模組依賴於資料視覺效果模組。其中,使用警示和訂閱模組時,系統預設配置資料視覺效果模組的系統管理權限。

      資源

      配置功能模組的許可權後,您可以配置許可權能使用的資源。專案名稱和Logstore名稱支援用*號表示,例如:

      • 擁有如下許可權的使用者或角色能動作記錄服務的所有資源。

        "Action": "log:*",
        "Resource": "*",
      • 擁有如下許可權的使用者或角色只能操作project01專案下的資源。

        • acs:log:*:*:project/project01
        • acs:log:*:*:project/project01/*
      • 擁有如下許可權的使用者或角色只能操作project01專案下logstore01日誌庫下的資源。

        • acs:log:*:*:project/project01/logstore/logstore01
        • acs:log:*:*:project/project01/logstore/logstore01/*

      限制條件

      根據需求配置限制條件。更多資訊,請參見權限原則基本元素

    • APP

      APP模式包括成本管家、日誌審計服務和K8s事件中心的許可權配置。

      配置項

      說明

      APP列表

      請根據需求選擇您要配置的APP及其許可權,許可權包括允許和禁止。

      預設角色選擇

      當APP的許可權選擇允許時,會自動選中相關的功能模組,您也可以自訂選擇。

      功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。

      重要

      功能模組之間存在依賴關係如下所示:

      • 必須設定項目的唯讀或系統管理權限,否則無法操作其他功能。

      • 資料接入模組依賴於Logstore模組,所以勾選資料接入中的任意一項都會預設勾選Logstore模組。

      • 可視化模組依賴於資料查詢模組。

      • 警示、訂閱和資料接入(雲產品接入)等模組依賴於資料視覺效果模組。其中,使用警示和訂閱模組時,系統預設配置資料視覺效果模組的系統管理權限。

      資源

      系統根據已選擇的APP指定資源,無法修改。

      限制條件

      根據需求配置限制條件。更多資訊,請參見權限原則基本元素

  5. 預覽權限原則確認規則資訊,同時您還可以編輯已產生的權限原則,具體操作如下表所示。 完成後單擊下一步

    操作

    說明

    格式化

    對手動編輯過的JSON代碼進行格式化。

    壓縮

    由於應用策略配置時有長度限制,壓縮功能可以去掉多餘的空格和換行。

    重設

    還原手動編輯的內容。

    複製到剪貼簿

    將當前編輯器中的內容複寫到剪貼簿,方便後續使用。

    添加到自訂模板

    將當前的權限原則添加到自訂原則範本中,方便後續使用。

    說明

    該模板只存放在瀏覽器的本機存放區中,更換瀏覽器後無法查看。

  6. 建立自訂權限原則。

    1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 權限原則頁面,單擊建立權限原則

      image

    4. 建立權限原則頁面,單擊指令碼編輯頁簽。將配置框中的原有指令碼替換為您在步驟5中擷取的權限原則,然後單擊確定

    5. 建立權限原則對話方塊,輸入權限原則名稱備忘,然後單擊確定

  7. 為授權主體(RAM使用者、RAM角色等)添加步驟6中建立的權限原則。具體操作,請參見為RAM使用者授權為RAM角色授權

    授權完成後,您就可以使用該授權主體(RAM使用者、RAM角色等)。

相關操作

  • 應用常見原則範本

    許可權助手頁簽,已設定常用原則範本,您可以根據需求選用模板。

  • 應用自訂原則範本

    許可權助手頁簽,還可以將自訂的權限原則添加到自訂原則範本中,方便後續使用。

    說明

    自訂原則範本儲存在瀏覽器的本機存放區中,更換瀏覽器後無法查看。