Simple Log Service：授予RAM使用者動作記錄審計服務的許可權

前提條件

已建立RAM使用者。具體操作，請參見建立RAM使用者。

系統權限原則

使用阿里雲帳號登入RAM控制台，為RAM使用者授予全部系統管理權限（AliyunLogFullAccess、AliyunRAMFullAccess）。具體操作，請參見為RAM使用者授權。

自訂權限原則

1. 登入RAM控制台。

2. 建立權限原則。

   1. 在左側導覽列中，選擇許可權管理>權限原則。

   2. 單擊建立權限原則。

   3. 在建立權限原則頁面的指令碼編輯頁簽中，將配置框中的原有指令碼替換為如下內容，然後單擊繼續編輯基本資料。

      您可以授予RAM使用者使用日誌審計服務的唯讀許可權或讀寫權限，具體權限原則說明如下：

      • 唯讀許可權（只允許查看日誌審計服務中的各個頁面。）

        {
            "Version": "1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "log:GetApp"
                    ],
                    "Resource": [
                        "acs:log:*:*:app/audit"
                    ]
                },
                {
                    "Effect": "Allow",
                    "Action": [
                        "log:Get*",
                        "log:List*"
                    ],
                    "Resource": [
                        "acs:log:*:*:project/slsaudit-*"
                    ]
                },
                {
                    "Effect": "Allow",
                    "Action": [
                        "log:GetProductDataCollection"
                    ],
                    "Resource": "acs:config:*:*:*"
                }
            ]
        }

      • 讀寫權限（允許動作記錄審計服務中的各個功能，如修改全域配置等。）

        {
            "Version": "1",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Action": [
                        "log:GetApp",
                        "log:CreateApp"
                    ],
                    "Resource": [
                        "acs:log:*:*:app/audit"
                    ]
                },
                {
                    "Effect": "Allow",
                    "Action": [
                        "log:Get*",
                        "log:List*",
                        "log:CreateJob",
                        "log:UpdateJob",
                        "log:CreateProject"
                    ],
                    "Resource": [
                        "acs:log:*:*:project/slsaudit-*"
                    ]
                },
                {
                    "Effect": "Allow",
                    "Action": [
                        "log:GetProductDataCollection",
                        "log:OpenProductDataCollection"
                    ],
                    "Resource": "acs:config:*:*:*"
                }
            ]
        }

   4. 設定名稱，然後單擊確定。

      例如設定策略名稱稱為log-slsaudit-policy。

3. 為RAM使用者授權。

   1. 在左側導覽列中，選擇身份管理 > 使用者。

   2. 找到目標RAM使用者，單擊添加許可權。

   3. 在新增授權面板的權限原則地區，在下拉式清單選擇自訂策略，然後選中您在步驟2中建立的權限原則，然後單擊確認新增授權。