子賬號開通或使用PolarDB-X 1.0 SQL審計功能之前,需要由主賬號為其授權。

背景信息

使用日志服務的實時日志分析功能, 需要如下權限:

操作類型 支持的操作賬號類型
開通日志服務(全局一次性操作) 主賬號
授權PolarDB-X 1.0寫入數據到您的日志服務 (全局一次性操作)
  • 主賬號
  • 具備AliyunLogFullAccess權限的子賬號
  • 具備指定權限的子賬號
使用日志分析功能
  • 主賬號
  • 具備AliyunLogFullAccess權限的子賬號
  • 具備指定權限的子賬號

您也可以根據需求為子賬號授權:

  • 為子賬號授予日志服務的全部操作權限:授予全部管理權限AliyunLogFullAccess。詳情請參見創建RAM用戶及授權
  • 主賬號開啟PolarDB-X 1.0 SQL審計分析后,為子賬號授予日志查看的權限:授予只讀權限AliyunLogReadOnlyAccess。詳情請參見創建RAM用戶及授權
  • 僅為子賬號授予開通及使用PolarDB-X 1.0 SQL審計與分析的權限,不授予其他日志服務管理權限:創建自定義授權策略,并為子賬號授予該自定義授權策略。

操作步驟

  1. 登錄RAM 控制臺
  2. 選擇權限管理 > 權限策略
  3. 在頁面右側單擊創建權限策略
  4. 單擊腳本編輯。 請替換參數后,輸入以下策略內容。您也可以添加其他自定義授權內容。
    說明 請將 ${Project}${Logstore}替換為您的日志服務Project和Logstore名稱。 
     {
   "Version": "1",
   "Statement": [
       {
       "Action": "log:GetProject",
       "Resource": "acs:log:*:*:project/${Project}",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateProject",
       "Resource": "acs:log:*:*:project/*",
       "Effect": "Allow"
     },
     { 
      "Action": "log:ListLogStores",
       "Resource": "acs:log:*:*:project/${Project}/logstore/*",
       "Effect": "Allow"
    },
     {
       "Action": "log:CreateLogStore",
       "Resource": "acs:log:*:*:project/${Project}/logstore/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:GetIndex",
       "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateIndex",
       "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
       "Effect": "Allow"
     },
     {
       "Action": "log:UpdateIndex",
       "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateDashboard",
       "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:UpdateDashboard",
       "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateSavedSearch",
       "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:UpdateSavedSearch",
       "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
       "Effect": "Allow"
     }
   ]
 }
  5. 單擊確定
  6. 在左側導航欄中單擊身份管理 > 用戶
  7. 找到子賬號并單擊對應的添加權限
  8. 添加上文中創建的自定義授權策略,并單擊確定