本文介紹如何授予RAM使用者資料加工操作許可權。
前提條件
已建立RAM使用者。具體操作,請參見建立RAM使用者。
背景資訊
使用阿里雲帳號授予RAM使用者資料加工操作許可權。
建立、刪除、修改資料加工任務。
讀取源Logstore資料進行加工任務預覽。
重要
本文對RAM使用者授權僅用於實現通過RAM使用者登入Log Service控制台進行資料加工操作。該授權與加工任務運行時訪問Logstore資料的授權不同。如果當前RAM使用者的存取金鑰既要用於操作資料加工任務,又要用於資料加工任務運行時訪問Logstore資料,則需要將本文中的權限原則內容與通過存取金鑰訪問資料中的權限原則內容相結合。
您可以通過如下兩種方式授予RAM使用者動作記錄服務資料加工的許可權。
系統權限原則:許可權範圍較大,使用者無法修改系統權限原則的內容,但配置步驟簡單。
自訂權限原則:許可權範圍更精細,使用者可以修改自訂權限原則的內容,配置步驟比系統權限原則更複雜。
系統權限原則
自訂權限原則
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立一個自訂權限原則,其中在指令碼編輯頁簽,請使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
重要指令碼中的
Project名稱
和Logstore名稱
請根據實際情況替換。如果您希望在加工過程中使用當前RAM使用者的存取金鑰來讀寫Logstore資料,則在添加如下策略內容時,還需添加Logstore資料讀寫權限的策略內容。具體的策略內容,請參見通過存取金鑰訪問資料。
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project名稱/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project名稱/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }
為RAM使用者添加建立的自訂權限原則。具體操作,請參見為RAM使用者授權。