全部产品
Search

搜索本产品

    日志服务:授予RAM用户操作日志审计服务的权限

    文档中心

    日志服务:授予RAM用户操作日志审计服务的权限

    更新时间:Jun 17, 2024

    本文介绍如何授予RAM用户操作日志审计服务的权限。

    前提条件

    已创建RAM用户。具体操作,请参见创建RAM用户

    背景信息

    您可以通过如下两种方式授予RAM用户操作日志审计控制台的权限。

    • 系统权限策略:权限策略内容由阿里云维护,用户不能修改权限策略的内容,只能授予权限和解除授权,但授权的步骤简单。

    • 自定义权限策略:权限策略内容由用户自己维护,安全风险更低,但授权的步骤复杂。

    系统权限策略

    使用阿里云账号登录RAM控制台,为RAM用户授予全部管理权限(AliyunLogFullAccess、AliyunRAMFullAccess)。具体操作,请参见为RAM用户授权

    自定义权限策略

    1. 登录RAM控制台

    2. 创建权限策略。

      1. 在左侧导航栏中,选择权限管理>权限策略

      2. 单击创建权限策略

      3. 创建权限策略页面的脚本编辑页签中,将配置框中的原有脚本替换为如下内容,然后单击继续编辑基本信息

        您可以授予RAM用户使用日志审计服务的只读权限或读写权限,具体权限策略说明如下:

        • 只读权限(只允许查看日志审计服务中的各个页面。)

          {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

        • 读写权限(允许操作日志审计服务中的各个功能,如修改全局配置等。)

          {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp",
                "log:CreateApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*",
                "log:CreateJob",
                "log:UpdateJob",
                "log:CreateProject"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection",
                "log:OpenProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

      4. 设置名称,然后单击确定

        例如设置策略名称为log-slsaudit-policy

    3. 为RAM用户授权。

      1. 在左侧导航栏中,选择身份管理 > 用户

      2. 找到目标RAM用户,单击添加权限

      3. 新增授权面板的权限策略区域,在下拉列表选择自定义策略,然后选中您在步骤2中创建的权限策略,然后单击确认新增授权