授予RAM用戶數(shù)據(jù)加工操作權(quán)限
本文介紹如何授予RAM用戶數(shù)據(jù)加工操作權(quán)限。
前提條件
已創(chuàng)建RAM用戶。具體操作,請參見創(chuàng)建RAM用戶。
背景信息
使用阿里云賬號授予RAM用戶數(shù)據(jù)加工操作權(quán)限。
創(chuàng)建、刪除、修改數(shù)據(jù)加工任務(wù)。
讀取源Logstore數(shù)據(jù)進(jìn)行加工任務(wù)預(yù)覽。
本文對RAM用戶授權(quán)僅用于實(shí)現(xiàn)通過RAM用戶登錄日志服務(wù)控制臺進(jìn)行數(shù)據(jù)加工操作。該授權(quán)與加工任務(wù)運(yùn)行時訪問Logstore數(shù)據(jù)的授權(quán)不同。如果當(dāng)前RAM用戶的訪問密鑰既要用于操作數(shù)據(jù)加工任務(wù),又要用于數(shù)據(jù)加工任務(wù)運(yùn)行時訪問Logstore數(shù)據(jù),則需要將本文中的權(quán)限策略內(nèi)容與通過訪問密鑰訪問數(shù)據(jù)中的權(quán)限策略內(nèi)容相結(jié)合。
您可以通過如下兩種方式授予RAM用戶操作日志服務(wù)數(shù)據(jù)加工的權(quán)限。
極簡授權(quán):權(quán)限較大,操作簡單。
自定義權(quán)限策略:權(quán)限精細(xì),配置復(fù)雜。
極簡授權(quán)
使用阿里云賬號登錄RAM控制臺,為RAM用戶授予全部管理權(quán)限(AliyunLogFullAccess、AliyunRAMFullAccess)。具體操作,請參見為RAM用戶授權(quán)。
自定義權(quán)限策略
使用阿里云賬號登錄RAM控制臺。
創(chuàng)建權(quán)限策略。
在左側(cè)導(dǎo)航欄中,選擇
。單擊創(chuàng)建權(quán)限策略。
在創(chuàng)建權(quán)限策略頁面的腳本編輯頁簽中,將配置框中的原有腳本替換為如下內(nèi)容,然后單擊繼續(xù)編輯基本信息。
請將
Project名稱
和Logstore名稱
替換為進(jìn)行數(shù)據(jù)加工的日志服務(wù)Project名稱和Logstore名稱。說明如果您希望在加工過程中使用當(dāng)前RAM用戶的訪問密鑰來讀寫Logstore數(shù)據(jù),則在添加如下策略內(nèi)容時,還需添加Logstore數(shù)據(jù)讀寫權(quán)限的策略內(nèi)容。具體的策略內(nèi)容,請參見通過訪問密鑰訪問數(shù)據(jù)。
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project名稱/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project名稱/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }
設(shè)置名稱,然后單擊確定。
例如設(shè)置策略名稱為log-sls-etl-policy。
為RAM用戶授權(quán)。
在左側(cè)導(dǎo)航欄中,選擇
。找到目標(biāo)RAM用戶,單擊添加權(quán)限。
在新增授權(quán)面板的權(quán)限策略區(qū)域,在下拉列表選擇自定義策略,然后選中您在步驟2中創(chuàng)建的權(quán)限策略,然后單擊確認(rèn)新增授權(quán)。