為RAM用戶授權(quán)
為RAM用戶授予RAM的系統(tǒng)策略或自定義策略后,RAM用戶就能通過(guò)對(duì)應(yīng)的權(quán)限訪問(wèn)阿里云資源。您可以授予RAM用戶訪問(wèn)和管理操作審計(jì)的權(quán)限,包括查詢事件、管理跟蹤、管理事件告警等。本文為您介紹如何為RAM用戶授予管理操作審計(jì)的相關(guān)權(quán)限。
前提條件
請(qǐng)確保您已創(chuàng)建RAM用戶。具體操作,請(qǐng)參見(jiàn)創(chuàng)建RAM用戶。
請(qǐng)確保您已創(chuàng)建操作審計(jì)服務(wù)關(guān)聯(lián)角色(AliyunServiceRoleForActionTrail)。具體操作,請(qǐng)參見(jiàn)創(chuàng)建服務(wù)關(guān)聯(lián)角色。
操作步驟
登錄RAM控制臺(tái)。
在左側(cè)導(dǎo)航欄,選擇 。
在用戶頁(yè)面,單擊目標(biāo)RAM用戶操作列的添加權(quán)限。
在新增授權(quán)面板,選擇資源范圍,然后選擇權(quán)限策略。
選擇資源范圍。
賬號(hào)級(jí)別:權(quán)限在當(dāng)前阿里云賬號(hào)內(nèi)生效。
資源組級(jí)別:權(quán)限在指定的資源組內(nèi)生效。
重要指定資源組授權(quán)生效的前提是該云服務(wù)及資源類(lèi)型已支持資源組,詳情請(qǐng)參見(jiàn)支持資源組的云服務(wù)。資源組授權(quán)示例,請(qǐng)參見(jiàn)使用云SSO實(shí)現(xiàn)多賬號(hào)場(chǎng)景下的身份權(quán)限管理。
選擇授權(quán)主體。
授權(quán)主體即需要添加權(quán)限的RAM用戶。系統(tǒng)會(huì)自動(dòng)選擇當(dāng)前的RAM用戶。
選擇權(quán)限策略。
權(quán)限策略是一組訪問(wèn)權(quán)限的集合,分為以下兩種。支持批量選中多條權(quán)限策略。
系統(tǒng)策略:從策略名稱(chēng)列表,選擇需要的權(quán)限。
權(quán)限策略名稱(chēng)
說(shuō)明
AliyunActionTrailReadOnlyAccess
只讀訪問(wèn)操作審計(jì)的權(quán)限
AliyunActionTrailFullAccess
管理操作審計(jì)的權(quán)限
AliyunOSSReadOnlyAccess
只讀訪問(wèn)對(duì)象存儲(chǔ)服務(wù)權(quán)限
AliyunLogReadOnlyAccess
只讀訪問(wèn)日志服務(wù)的權(quán)限
自定義策略:?jiǎn)螕?b data-tag="uicontrol" id="8d55ab1402uoc" class="uicontrol">所有策略類(lèi)型,選擇自定義策略。
關(guān)于如何創(chuàng)建自定義策略,請(qǐng)參見(jiàn)創(chuàng)建自定義權(quán)限策略。
示例一:授予RAM用戶操作審計(jì)的所有權(quán)限,以及獲取OSS Bucket列表和SLS Project列表的權(quán)限,以便管理跟蹤。
示例代碼:
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:*", "oss:GetService", "log:ListProject" ], "Resource": "*", "Effect": "Allow" } ] }
權(quán)限說(shuō)明:
Action
說(shuō)明
oss:GetService
獲取OSS Bucket列表的權(quán)限
log:ListProject
獲取SLS Project列表的權(quán)限
actiontrail:*
操作審計(jì)所有操作的權(quán)限
示例二:授予RAM用戶管理跟蹤和在日志服務(wù)SLS中管理Logstore、索引、看板、圖表、日志項(xiàng)目的相關(guān)權(quán)限,以便管理事件告警。
示例代碼:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "actiontrail:DescribeTrails", "actiontrail:SetDefaultTrail", "actiontrail:GetDefaultTrail", "actiontrail:CreateTrail" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project名稱(chēng)/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": "acs:log:*:*:project/Project名稱(chēng)/dashboard/*" }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project名稱(chēng)/job/*" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] } ] }
權(quán)限說(shuō)明:
Action
說(shuō)明
actiontrail:DescribeTrails
查詢跟蹤
actiontrail:SetDefaultTrail
設(shè)置事件告警的默認(rèn)跟蹤
actiontrail:GetDefaultTrail
獲取事件告警的默認(rèn)跟蹤
actiontrail:CreateTrail
創(chuàng)建跟蹤
log:CreateLogstore
創(chuàng)建Logstore
log:CreateIndex
創(chuàng)建索引
log:UpdateIndex
更新索引
log:CreateDashboard
創(chuàng)建看板
log:CreateChart
創(chuàng)建圖表
log:UpdateDashboard
更新看板
log:CreateProject
創(chuàng)建日志項(xiàng)目
單擊確認(rèn)新增授權(quán)。
單擊關(guān)閉。
相關(guān)文檔
關(guān)于為RAM用戶授權(quán)的更多方式,請(qǐng)參見(jiàn)為RAM用戶授權(quán)。
您還可以使用API添加RAM用戶的相關(guān)權(quán)限,具體操作,請(qǐng)參見(jiàn)AttachPolicyToUser - 為指定用戶添加權(quán)限。