本文介紹如何授予RAM使用者資料加工操作許可權。
前提條件
已建立RAM使用者。具體操作,請參見建立RAM使用者。
背景資訊
使用阿里雲帳號授予RAM使用者資料加工操作許可權。
建立、刪除、修改資料加工任務。
讀取源Logstore資料進行加工任務預覽。
本文對RAM使用者授權僅用於實現通過RAM使用者登入Log Service控制台進行資料加工操作。該授權與加工任務運行時訪問Logstore資料的授權不同。如果當前RAM使用者的存取金鑰既要用於操作資料加工任務,又要用於資料加工任務運行時訪問Logstore資料,則需要將本文中的權限原則內容與通過存取金鑰訪問資料中的權限原則內容相結合。
您可以通過如下兩種方式授予RAM使用者動作記錄服務資料加工的許可權。
極簡授權:許可權較大,操作簡單。
自訂權限原則:許可權精細,配置複雜。
極簡授權
使用阿里雲帳號登入RAM控制台,為RAM使用者授予全部系統管理權限(AliyunLogFullAccess、AliyunRAMFullAccess)。具體操作,請參見為RAM使用者授權。
自訂權限原則
使用阿里雲帳號登入RAM控制台。
建立權限原則。
在左側導覽列中,選擇。
單擊建立權限原則。
在建立權限原則頁面的指令碼編輯頁簽中,將配置框中的原有指令碼替換為如下內容,然後單擊繼續編輯基本資料。
請將
Project名稱和Logstore名稱替換為進行資料加工的Log ServiceProject名稱和Logstore名稱。說明如果您希望在加工過程中使用當前RAM使用者的存取金鑰來讀寫Logstore資料,則在添加如下策略內容時,還需添加Logstore資料讀寫權限的策略內容。具體的策略內容,請參見通過存取金鑰訪問資料。
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project名稱/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project名稱/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }設定名稱,然後單擊確定。
例如設定策略名稱稱為log-sls-etl-policy。
為RAM使用者授權。
在左側導覽列中,選擇。
找到目標RAM使用者,單擊添加許可權。
在新增授權面板的權限原則地區,在下拉式清單選擇自訂策略,然後選中您在步驟2中建立的權限原則,然後單擊確認新增授權。