可信实体为阿里云服务的RAM角色主要用于解决跨云服务授权访问的问题,本文介绍如何创建可信实体为阿里云服务的RAM角色及授权。
步骤一:创建RAM角色
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在角色页面,单击创建角色。
在创建角色页面,选择可信实体类型为阿里云服务,然后单击下一步。
在配置角色配置向导中,配置如下内容:
参数
说明
角色类型
选择普通角色类型。
角色名称
输入角色名称,例如aliyunlogreadrole。
备注
输入创建角色的备注信息。
选择受信服务
选择日志服务。
单击完成。
单击关闭。
步骤二:为RAM角色授权
说明
成功创建RAM角色后,该RAM角色没有任何权限,您需要为该RAM角色授权。访问控制提供如下两种日志服务的系统策略,建议您遵循最小化原则,按需授予RAM角色必要的权限。
AliyunLogFullAccess:管理日志服务的权限。
AliyunLogReadOnlyAccess:只读访问日志服务的权限。
当系统策略无法满足您的需求,您可以通过创建自定义策略实现精细化权限管理。具体操作,请参见创建自定义权限策略。权限策略示例请参见RAM自定义授权场景和日志服务RAM授权策略。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择 。
在角色页面,单击目标RAM角色操作列的新增授权。
您也可以选中多个RAM角色,单击角色列表下方的新增授权,为RAM角色批量授权。
在新增授权面板,选中目标权限(如:AliyunLogReadOnlyAccess),单击确认新增授权。
单击关闭。