本文介紹如何授予阿里云RAM用戶操作CloudLens for RDS的權限。
前提條件
已創建RAM用戶。具體操作,請參見創建RAM用戶。
背景信息
您可以通過如下兩種方式給RAM用戶授予CloudLens for RDS的操作權限。
系統權限策略:權限范圍較大,用戶無法修改系統權限策略的內容,但配置步驟簡單。
自定義權限策略:權限范圍更精細,用戶可以修改自定義權限策略的內容,配置步驟比系統權限策略更復雜。
系統權限策略
使用阿里云賬號登錄RAM控制臺,為RAM用戶授予全部管理權限(AliyunLogFullAccess、AliyunRAMFullAccess)。具體操作,請參見為RAM用戶授權。
自定義權限策略
使用阿里云賬號登錄RAM控制臺。
創建權限策略。
在左側導航欄中,選擇。
單擊創建權限策略。
在創建權限策略頁面的腳本編輯頁簽中,將配置框中的原有腳本替換為如下內容,然后單擊繼續編輯基本信息。
您可以授予RAM用戶使用RDS Lens的只讀權限或讀寫權限,具體權限策略說明如下:
只讀權限(只允許查看CloudLens for RDS中的各個頁面。)
{ "Statement": [ { "Action": [ "rds:DescribeSqlLogInstances" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": "log:GetProductDataCollection", "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:rds:*:*:dbinstance/*" ], "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }讀寫權限(允許操作CloudLens for RDS中的各個功能。)
{ "Statement": [ { "Action": [ "rds:DescribeSqlLogInstances", "rds:DisableSqlLogDistribution", "rds:EnableSqlLogDistribution", "rds:ModifySQLCollectorPolicy" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "log:GetLogStore", "log:CreateProject", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:ListLogStores", "log:GetLogStore", "log:GetLogStoreLogs", "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard", "log:UpdateLogStore", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/" ], "Effect": "Allow" }, { "Action": [ "log:GetProductDataCollection", "log:OpenProductDataCollection", "log:CloseProductDataCollection" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:rds:*:*:dbinstance/*" ], "Effect": "Allow" }, { "Action": [ "log:SetGeneralDataAccessConfig" ], "Resource": [ "acs:log:*:*:resource/sls.general_data_access.rds.global_conf.*/record" ], "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com", "ram:ServiceName": "rds.aliyuncs.com" } } }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }
設置名稱,然后單擊確定。
例如設置策略名稱為log-rds-policy。
為RAM用戶授權。
在左側導航欄中,選擇。
找到目標RAM用戶,單擊添加權限。
在新增授權面板的權限策略區域,在下拉列表選擇自定義策略,然后選中您在步驟2中創建的權限策略,然后單擊確認新增授權。
文檔內容是否對您有幫助?