本文介绍了通过RAM的权限管理能力,可以授权RAM用户操作ActionTrail的资源。

前提条件

  • 进行操作前,请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册
  • 使用RAM对ActionTrail进行权限管理前,请先了解以下常用的权限策略:
    • AliyunActionTrailFullAccess:为RAM用户授予ActionTrail的完全管理权限。
    • AliyunActionTrailReadOnlyAccess:为RAM用户授予ActionTrail的只读访问权限。
  • 使用RAM对ActionTrail进行授权前,请先了解ActionTrail的权限定义。详情请参见RAM鉴权

操作步骤

  1. 创建RAM用户
  2. 为RAM用户授权
    • 您可以直接为RAM用户添加一条或多条系统策略。
    • 如果需要更细粒度的授权,您也可以根据下述ActionTrail授权样例创建相应的自定义策略。

      关于如何创建自定义策略,请参见创建自定义策略

ActionTrail授权样例

  • 示例1:授予RAM用户只读权限。
    {
        "Version": "1",
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "actiontrail:LookupEvents", 
                "actiontrail:Describe*", 
                "actiontrail:Get*"
            ],
            "Resource": "*"
        }]
    }
    					
  • 示例2:仅允许RAM用户从指定的IP地址发起的只读操作。
    {
        "Version": "1",
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "actiontrail:LookupEvents", 
                "actiontrail:Describe*", 
                "actiontrail:Get*"
            ],
            "Resource": "*",
            "Condition":{
                "IpAddress": {
                    "acs:SourceIp": "42.120.XX.X/24"
                }
            }
        }]
    }