本文介紹如何為RAM使用者授予操作警示許可權,並介紹在配置跨Project、地區和阿里雲帳號監控日誌時,如何配置授權。
前提條件
已建立RAM使用者。具體操作,請參見建立RAM使用者。
授權RAM使用者唯讀訪問警示
方式一:授予系統權限原則
為RAM使用者授予警示唯讀系統管理權限(AliyunLogReadOnlyAccess)。具體操作,請參見為RAM使用者授權。
方式二:建立自訂權限原則進行授權
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立一個自訂權限原則,其中在指令碼編輯頁簽,請使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
重要Project名稱表示用於唯讀警示資料的Project,請根據實際情況替換。
sls-alert-*表示當前阿里雲帳號下所有的全域警示中心Project。全域警示中心Project中包含該帳號下所有警示規則的評估資料、發送的日誌和警示相關的全域報表等。如果您不需要查看全域報表資訊,可以在資源清單中刪除
acs:log:*:*:project/sls-alert-*/*。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetLogStore" ], "Resource": [ "acs:log:*:*:project/Project名稱/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:GetJob", "log:ListJobs" ], "Resource": "acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "log:GetProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs", "log:ListLogStores", "log:GetIndex", "log:GetDashboard", "log:ListDashboard" ], "Resource": [ "acs:log:*:*:project/Project名稱/*", "acs:log:*:*:project/sls-alert-*/*" ] }, { "Effect": "Allow", "Action": [ "log:GetResource", "log:ListResources", "log:GetResourceRecord", "log:ListResourceRecords" ], "Resource": [ "acs:log:*:*:resource/*" ] } ] }為RAM使用者添加建立的自訂權限原則。具體操作,請參見為RAM使用者授權。
授權RAM使用者管理警示
方式一:授予系統權限原則
為RAM使用者授予Log Service系統管理權限(AliyunLogFullAccess)。具體操作,請參見為RAM使用者授權。
方式二:建立自訂權限原則進行授權
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立一個自訂權限原則,其中在指令碼編輯頁簽,請使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
重要Project名稱表示用於管理警示資料的Project,請根據實際情況替換。
sls-alert-*表示當前阿里雲帳號下所有的全域警示中心Project。全域警示中心Project中包含該帳號下所有警示規則的評估資料、發送的日誌和警示相關的全域報表等。如果您只想授權RAM使用者操作單個全域警示中心Project的許可權,您可以將sls-alert-*配置為單個Project的名稱,格式為
sls-alert-${uid}-${region},例如sls-alert-148****6461-cn-hangzhou。建立Logstore、建立索引及更新索引的權限原則,用於RAM使用者操作警示相關的系統日誌庫(警示歷史日誌庫、全域警示中心日誌庫),從而進行警示歷史等報表的查看。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetLogStore", "log:UpdateLogStore", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project名稱/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "log:GetProject", "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs", "log:ListLogStores", "log:GetIndex", "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard", "log:ListDashboard" ], "Resource": [ "acs:log:*:*:project/Project名稱/*", "acs:log:*:*:project/sls-alert-*/*" ] }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": [ "acs:log:*:*:resource/*" ] } ] }為RAM使用者添加建立的自訂權限原則。具體操作,請參見為RAM使用者授權。