本文介紹如何通過設定資源群組限制RAM使用者查看指定的Project。
背景資訊
在SLS控制台中,Project列表是通過調用OpenAPI ListProject介面展示的。如果使用者擁有ListProject許可權,預設會顯示賬戶內所有Project。如果您希望僅授權特定的Project給RAM使用者,並且未授權的Project不在列表中顯示,可以通過資源群組授權實現。
目前RAM權限原則模型分為賬戶內授權和資源群組授權。
賬戶內授權:通過為RAM使用者指派特定策略,使其對合格資源擁有相應許可權。然而,這種授權方式無法滿足使用者限制RAM使用者在SLS控制台中僅查看特定Project的需求。具體操作,請參見Log Service自訂權限原則參考。
資源群組授權:阿里雲賬戶預設包含一個資源群組,使用者也可建立自訂資源群組。通過將支援資源群組的資源(如SLS的Project)移動到特定資源群組,並在為RAM使用者添加許可權時選擇資源群組作為授權範圍,可以限制這些使用者僅能查看和操作該資源群組內的資源,從而實現對SLS控制台中特定Project的訪問限制。
前提條件
已建立RAM使用者。具體操作,請參見建立RAM使用者。
步驟一:建立資源群組
您可以使用阿里雲帳號(主帳號)或擁有建立資源群組的RAM身份(RAM使用者和RAM角色)建立資源群組。
具體操作請參見建立資源群組。
步驟二:添加目標Project到資源群組
您可以添加或者修改目標Project所屬的資源群組。
具體操作請參見選擇資源群組。
步驟三:建立查看Project列表的權限原則
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立一個自訂權限原則,其中在指令碼編輯頁簽,請使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "log:*", "Resource": "acs:log:*:*:project/*" } ] }
步驟四:給RAM使用者授權
具體操作請參見為RAM使用者授權。
步驟五:查看指定Project
使用RAM使用者登入Log Service控制台。
頁面上方選擇步驟四授予該RAM使用者的資源群組,查看該資源群組下的Project。
