Log Service提供許可權助手功能,簡化Log Service相關的RAM權限原則配置。本文介紹如何在Log Service控制台上配置許可權助手。
操作步驟
在Project列表地區,單擊目標Project。
- 在左側導覽列中,選擇。
- 在許可權助手頁面,完成如下配置,並單擊下一步。模式包括普通專案和APP,具體配置如下表所示。
- 普通專案
普通專案模式包括Log Service的所有功能模組許可權的配置。
參數 說明 預設角色選擇 不同的角色已配置不同的功能模組,您可以根據需求選擇已預設的角色,也可以自訂選擇功能模組。 功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。
重要 功能模組之間存在依賴關係如下所示:- 必須設定項目的唯讀或系統管理權限,否則無法操作其他功能。
- 資料接入模組依賴於Logstore模組,所以勾選資料接入中的任意一項都會預設勾選Logstore模組。
- 可視化模組依賴於資料查詢模組。
- 警示、訂閱和資料接入(雲產品接入)等模組依賴於資料視覺效果模組。其中,使用警示和訂閱模組時,系統預設配置資料視覺效果模組的系統管理權限。
資源 配置功能模組的許可權後,您可以配置許可權能使用的資源。專案名稱和Logstore名稱支援用 *號表示,例如:- 擁有如下許可權的使用者或角色能動作記錄服務的所有資源。
"Action": "log:*", "Resource": "*", - 擁有如下許可權的使用者或角色只能操作project01專案下的資源。
acs:log:*:*:project/project01acs:log:*:*:project/project01/*
- 擁有如下許可權的使用者或角色只能操作project01專案下logstore01日誌庫下的資源。
acs:log:*:*:project/project01/logstore/logstore01acs:log:*:*:project/project01/logstore/logstore01/*
限制條件 根據需求配置限制條件。更多資訊,請參見權限原則基本元素。 - APP
APP模式包括成本管家、日誌審計服務和K8s事件中心的許可權配置。
配置項 說明 APP列表 請根據需求選擇您要配置的APP及其許可權,許可權包括允許和禁止。 預設角色選擇 當APP的許可權選擇允許時,會自動選中相關的功能模組,您也可以自訂選擇。 功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。
重要 功能模組之間存在依賴關係如下所示:- 必須設定項目的唯讀或系統管理權限,否則無法操作其他功能。
- 資料接入模組依賴於Logstore模組,所以勾選資料接入中的任意一項都會預設勾選Logstore模組。
- 可視化模組依賴於資料查詢模組。
- 警示、訂閱和資料接入(雲產品接入)等模組依賴於資料視覺效果模組。其中,使用警示和訂閱模組時,系統預設配置資料視覺效果模組的系統管理權限。
資源 系統根據已選擇的APP指定資源,無法修改。 限制條件 根據需求配置限制條件。更多資訊,請參見權限原則基本元素。
- 普通專案
- 預覽權限原則確認規則資訊,同時您還可以編輯已產生的權限原則,具體操作如下表所示。 完成後單擊下一步。
操作 說明 格式化 對手動編輯過的JSON代碼進行格式化。 壓縮 由於應用策略配置時有長度限制,壓縮功能可以去掉多餘的空格和換行。 重設 還原手動編輯的內容。 複製到剪貼簿 將當前編輯器中的內容複寫到剪貼簿,方便後續使用。 添加到自訂模板 將當前的權限原則添加到自訂原則範本中,方便後續使用。 說明 該模板只存放在瀏覽器的本機存放區中,更換瀏覽器後無法查看。 - 建立自訂權限原則。
- 為授權主體(RAM使用者、RAM角色等)添加許可權。
- 在左側導覽列中,選擇。
- 單擊新增授權。
- 在新增授權面板中,選擇授權範圍和授權主體,然後在選擇許可權地區,單擊自訂策略,選中您在步驟6中建立的權限原則,單擊確定。
授權完成後,您就可以使用該授權主體(RAM使用者、RAM角色等)。
相關操作
- 應用常見原則範本
在許可權助手頁簽,已設定常用原則範本,您可以根據需求選用模板。
- 應用自訂原則範本 在許可權助手頁簽,還可以將自訂的權限原則添加到自訂原則範本中,方便後續使用。說明 自訂原則範本儲存在瀏覽器的本機存放區中,更換瀏覽器後無法查看。