可信實體為阿里雲服務的RAM角色主要用於解決跨雲端服務授權訪問的問題,本文介紹如何建立可信實體為阿里雲服務的RAM角色及授權。
步驟一:建立RAM角色
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在角色頁面,單擊建立角色。
在建立角色頁面,選擇可信實體類型為阿里雲服務,然後單擊下一步。
在配置角色設定精靈中,配置如下內容:
參數
說明
角色類型
選擇普通角色類型。
角色名稱
輸入角色名稱,例如aliyunlogreadrole。
備忘
輸入建立角色的備忘資訊。
選擇受信服務
選擇Log Service。
單擊完成。
單擊關閉。
步驟二:為RAM角色授權
說明
成功建立RAM角色後,該RAM角色沒有任何許可權,您需要為該RAM角色授權。存取控制提供如下兩種Log Service的系統策略,建議您遵循最小化原則,按需授予RAM角色必要的許可權。
AliyunLogFullAccess:管理Log Service的許可權。
AliyunLogReadOnlyAccess:唯讀訪問Log Service的許可權。
當系統策略無法滿足您的需求,您可以通過建立自訂策略實現精微調權限管理。具體操作,請參見建立自訂權限原則。權限原則樣本請參見RAM自訂授權情境和Log ServiceRAM授權策略。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在角色頁面,單擊目標RAM角色操作列的新增授權。
您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色大量授權。
在新增授權面板,選中目標許可權(如:AliyunLogReadOnlyAccess),單擊確認新增授權。
單擊關閉。