如需使用RAM使用者進行資料處理,必須為RAM使用者授予相應的權限原則。本文介紹具體的授權步驟。
操作步驟
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立一個自訂權限原則,其中在指令碼編輯頁簽,請使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
重要請將下述
Project名稱和Logstore名稱替換為資料處理中需要使用的Log ServiceProject名稱和Logstore名稱。如何查看Project名稱和Logstore名稱,請參見管理Project和管理Logstore。唯讀許可權
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetIngestProcessor", "log:ListIngestProcessors" ], "Resource": "acs:log:*:*:project/Project名稱/ingestprocessor/*" }, { "Effect": "Allow", "Action": [ "log:GetLogStore" ], "Resource": "acs:log:*:*:project/Project名稱/logstore/Logstore名稱" } ] }讀寫權限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:PutIngestProcessor", "log:GetIngestProcessor", "log:ListIngestProcessors", "log:DeleteIngestProcessor" ], "Resource": "acs:log:*:*:project/Project名稱/ingestprocessor/*" }, { "Effect": "Allow", "Action": [ "log:UpdateLogStoreProcessor" ], "Resource": [ "acs:log:*:*:project/Project名稱/logstore/LogStore名稱" ] }, { "Effect": "Allow", "Action": [ "log:UpdateMetricStoreProcessor" ], "Resource": [ "acs:log:*:*:project/Project名稱/metricstore/MetricStore名稱" ] } ] }為RAM使用者添加建立的自訂權限原則。具體操作,請參見為RAM使用者授權。
相關文檔
本文介紹建立和使用自訂權限原則的步驟,自訂權限原則允許您更精細地控制存取權限,但需要您自己維護和系統管理權限策略的內容。您也可以為RAM身份授予系統權限原則,無需維護和系統管理權限策略的內容,授權操作更簡單但許可權範圍更大,可能導致安全風險。Log Service支援的系統權限原則,請參見Log Service系統權限原則參考。