Log Service提供許可權助手功能,簡化Log Service相關的RAM權限原則配置。本文介紹如何在Log Service控制台上配置許可權助手。
操作步驟
在Project列表地區,單擊目標Project。
在左側導覽列中,選擇
。在許可權助手頁面,完成如下配置,並單擊下一步。
模式包括普通專案和APP,具體配置如下表所示。
普通專案
普通專案模式包括Log Service的所有功能模組許可權的配置。
參數
說明
預設角色選擇
不同的角色已配置不同的功能模組,您可以根據需求選擇已預設的角色,也可以自訂選擇功能模組。
功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。
重要功能模組之間存在依賴關係如下所示:
必須設定項目的唯讀或系統管理權限,否則無法操作其他功能。
資料接入模組依賴於Logstore模組,所以勾選資料接入中的任意一項都會預設勾選Logstore模組。
可視化模組依賴於資料查詢模組。
警示、訂閱和資料接入(雲產品接入)等模組依賴於資料視覺效果模組。其中,使用警示和訂閱模組時,系統預設配置資料視覺效果模組的系統管理權限。
資源
配置功能模組的許可權後,您可以配置許可權能使用的資源。專案名稱和Logstore名稱支援用
*
號表示,例如:擁有如下許可權的使用者或角色能動作記錄服務的所有資源。
"Action": "log:*", "Resource": "*",
擁有如下許可權的使用者或角色只能操作project01專案下的資源。
acs:log:*:*:project/project01
acs:log:*:*:project/project01/*
擁有如下許可權的使用者或角色只能操作project01專案下logstore01日誌庫下的資源。
acs:log:*:*:project/project01/logstore/logstore01
acs:log:*:*:project/project01/logstore/logstore01/*
限制條件
根據需求配置限制條件。更多資訊,請參見權限原則基本元素。
APP
APP模式包括成本管家、日誌審計服務和K8s事件中心的許可權配置。
配置項
說明
APP列表
請根據需求選擇您要配置的APP及其許可權,許可權包括允許和禁止。
預設角色選擇
當APP的許可權選擇允許時,會自動選中相關的功能模組,您也可以自訂選擇。
功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。
重要功能模組之間存在依賴關係如下所示:
必須設定項目的唯讀或系統管理權限,否則無法操作其他功能。
資料接入模組依賴於Logstore模組,所以勾選資料接入中的任意一項都會預設勾選Logstore模組。
可視化模組依賴於資料查詢模組。
警示、訂閱和資料接入(雲產品接入)等模組依賴於資料視覺效果模組。其中,使用警示和訂閱模組時,系統預設配置資料視覺效果模組的系統管理權限。
資源
系統根據已選擇的APP指定資源,無法修改。
限制條件
根據需求配置限制條件。更多資訊,請參見權限原則基本元素。
預覽權限原則確認規則資訊,同時您還可以編輯已產生的權限原則,具體操作如下表所示。 完成後單擊下一步。
操作
說明
格式化
對手動編輯過的JSON代碼進行格式化。
壓縮
由於應用策略配置時有長度限制,壓縮功能可以去掉多餘的空格和換行。
重設
還原手動編輯的內容。
複製到剪貼簿
將當前編輯器中的內容複寫到剪貼簿,方便後續使用。
添加到自訂模板
將當前的權限原則添加到自訂原則範本中,方便後續使用。
說明該模板只存放在瀏覽器的本機存放區中,更換瀏覽器後無法查看。
建立自訂權限原則。
為授權主體(RAM使用者、RAM角色等)添加步驟6中建立的權限原則。具體操作,請參見為RAM使用者授權、為RAM角色授權。
授權完成後,您就可以使用該授權主體(RAM使用者、RAM角色等)。
相關操作
應用常見原則範本
在許可權助手頁簽,已設定常用原則範本,您可以根據需求選用模板。
應用自訂原則範本
在許可權助手頁簽,還可以將自訂的權限原則添加到自訂原則範本中,方便後續使用。
說明自訂原則範本儲存在瀏覽器的本機存放區中,更換瀏覽器後無法查看。