本文介紹藉助RAM實現RAM使用者對主帳號Log Service資源的訪問。
背景資訊
您建立的Project、Logstore、採集配置、機器組,都是您自己擁有的資源。預設情況下,您對自己的資源擁有完整的操作許可權,可以使用本文檔中列舉的所有API對資源進行操作。
但在RAM使用者情境下,剛建立的RAM使用者無許可權操作主帳號資源,需要通過RAM授權方式,授予RAM使用者操作主帳號資源的許可權。
說明 在瞭解如何使用RAM來授權和訪問Log Service資源之前,請確保您已詳細閱讀了建立可信實體為阿里雲帳號的RAM角色及授權和RAM簡介。
如果您不需要跨賬戶進行Log Service資源的授權和訪問,您可以跳過此章節。跳過這些部分並不影響您對文檔中其餘部分的理解和使用。
授權策略
RAM和Log Service相關的授權策略:
- AliyunLogFullAccess 給RAM使用者授予該許可權後,RAM使用者將對主帳號擁有的Log Service資源具備存取權限。授權策略描述如下:
{ "Version": "1", "Statement": [ { "Action": "log:*", "Resource": "*", "Effect": "Allow" } ] } - AliyunLogReadOnlyAccess 給RAM使用者授予該許可權後,RAM使用者將對主帳號擁有的Log Service資源具備唯讀許可權。授權策略描述如下:
{ "Version": "1", "Statement": [ { "Action": [ "log:Get*", "log:List*" ], "Resource": "*", "Effect": "Allow" } ] } - 向指定日誌庫(Logstore)上傳資料
給RAM使用者授予該許可權後,RAM使用者可以通過API、SDK直接向指定日誌庫上傳資料,授權策略描述如下:
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": ["acs:log:*:*:project/<指定的project名稱>/logstore/<指定的logstore名稱>"], "Effect": "Allow" } ] } - 控制台查詢指定日誌庫(Logstore)資料 給RAM使用者授予該許可權後,RAM使用者在控制台上擁有指定日誌庫資源的唯讀存取權限(查詢日誌、拖取日誌、查看日誌庫列表)。授權策略描述如下:
{ "Version": "1", "Statement": [ { "Action": ["log:List*"], "Resource": ["acs:log:*:*:project/<指定的project名稱>/*"], "Effect": "Allow" }, { "Action": ["log:Get*"], "Resource": ["acs:log:*:*:project/<指定的project名稱>/logstore/<指定的logstore名稱>"], "Effect": "Allow" } ] }