日志服务提供权限助手功能,简化日志服务相关的RAM权限策略配置。本文介绍如何在日志服务控制台上配置权限助手。
操作步骤
登录日志服务控制台。
在Project列表区域,单击目标Project。
- 在左侧导航栏中,选择 。
- 在权限助手页面,完成如下配置,并单击下一步。模式包括普通项目和APP,具体配置如下表所示。
- 普通项目
普通项目模式包括日志服务的所有功能模块权限的配置。
参数 说明 预设角色选择 不同的角色已配置不同的功能模块,您可以根据需求选择已预设的角色,也可以自定义选择功能模块。 功能模块的权限包括管理权限和只读权限,请根据需求选择。
重要 功能模块之间存在依赖关系如下所示:- 必须配置项目的只读或管理权限,否则无法操作其他功能。
- 数据接入模块依赖于Logstore模块,所以勾选数据接入中的任意一项都会默认勾选Logstore模块。
- 可视化模块依赖于数据查询模块。
- 告警、订阅和数据接入(云产品接入)等模块依赖于数据可视化模块。其中,使用告警和订阅模块时,系统默认配置数据可视化模块的管理权限。
资源 配置功能模块的权限后,您可以配置权限能使用的资源。项目名称和Logstore名称支持用 *
号表示,例如:- 拥有如下权限的用户或角色能操作日志服务的所有资源。
"Action": "log:*", "Resource": "*",
- 拥有如下权限的用户或角色只能操作project01项目下的资源。
acs:log:*:*:project/project01
acs:log:*:*:project/project01/*
- 拥有如下权限的用户或角色只能操作project01项目下logstore01日志库下的资源。
acs:log:*:*:project/project01/logstore/logstore01
acs:log:*:*:project/project01/logstore/logstore01/*
限制条件 根据需求配置限制条件。更多信息,请参见权限策略基本元素。 - APP
APP模式包括成本管家、日志审计服务和K8s事件中心的权限配置。
配置项 说明 APP列表 请根据需求选择您要配置的APP及其权限,权限包括允许和禁止。 预设角色选择 当APP的权限选择允许时,会自动选中相关的功能模块,您也可以自定义选择。 功能模块的权限包括管理权限和只读权限,请根据需求选择。
重要 功能模块之间存在依赖关系如下所示:- 必须配置项目的只读或管理权限,否则无法操作其他功能。
- 数据接入模块依赖于Logstore模块,所以勾选数据接入中的任意一项都会默认勾选Logstore模块。
- 可视化模块依赖于数据查询模块。
- 告警、订阅和数据接入(云产品接入)等模块依赖于数据可视化模块。其中,使用告警和订阅模块时,系统默认配置数据可视化模块的管理权限。
资源 系统根据已选择的APP指定资源,无法修改。 限制条件 根据需求配置限制条件。更多信息,请参见权限策略基本元素。
- 普通项目
- 预览权限策略确认规则信息,同时您还可以编辑已生成的权限策略,具体操作如下表所示。 完成后单击下一步。
操作 说明 格式化 对手动编辑过的JSON代码进行格式化。 压缩 由于应用策略配置时有长度限制,压缩功能可以去掉多余的空格和换行。 重置 还原手动编辑的内容。 复制到剪贴板 将当前编辑器中的内容复制到剪贴板,方便后续使用。 添加到自定义模板 将当前的权限策略添加到自定义策略模板中,方便后续使用。 说明 该模板只存放在浏览器的本地存储中,更换浏览器后无法查看。 - 创建自定义权限策略。
- 为授权主体(RAM用户、RAM角色等)添加权限。
- 在左侧导航栏中,选择 。
- 单击新增授权。
- 在新增授权面板中,选择授权范围和授权主体,然后在选择权限区域,单击自定义策略,选中您在步骤6中创建的权限策略,单击确定。
确认授权成功后,单击完成。
授权完成后,您就可以使用该授权主体(RAM用户、RAM角色等)。
相关操作
- 应用常见策略模板
在权限助手页签,已设置常用策略模板,您可以根据需求选用模板。
- 应用自定义策略模板 在权限助手页签,还可以将自定义的权限策略添加到自定义策略模板中,方便后续使用。说明 自定义策略模板保存在浏览器的本地存储中,更换浏览器后无法查看。