全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网

授权RAM用户操作ActionTrail

更新时间:2017-06-07 13:26:11

如果您还没有开通RAM,请开通RAM服务并使用RAM用户来进行工作。

创建用户和组

  1. 进入RAM控制台。
  2. 创建一个用户,比如zhangsan。
  3. 给用户开通控制台登录,设置登录密码或多因素认证。
  4. 创建一个组,比如auditors。
  5. 添加用户到组,比如添加用户zhangsan到auditors组。

使用ActionTrail系统授权策略给用户组授权

ActionTrail支持的系统授权策略有:

  • AliyunActionTrailReadOnlyAccess(只读权限)
  • AliyunActionTrailFullAccess(完全权限)

您可以根据需要选择其中一种策略授权给auditor组即可。

使用自定义ActionTrail授权策略给用户组授权

假设ActionTrail所支持的系统授权策略不能满足您的需要,比如您希望用户只能从某一IP地址范围发起ActionTrail只读操作,那么您可以选择自定义授权策略。

操作步骤如下:

  1. 进入RAM控制台。
  2. 进入授权策略管理,选择新建自定义授权策略。
  3. 在编辑框中输入你自定义的授权策略文本。
  4. 新建授权策略成功后,您可以授权该策略给auditor组。

如下的授权策略样例仅允许从指定IP地址发起请求对ActionTrail资源的只读操作(你可以调整策略文本中的IP地址范围)。

  1. {
  2. "Version": "1",
  3. "Statement": [{
  4. "Effect": "Allow",
  5. "Action": [
  6. "actiontrail:LookupEvents",
  7. "actiontrail:Describe*",
  8. "actiontrail:Get*"
  9. ],
  10. "Resource": "*",
  11. "Condition":{
  12. "IpAddress": {
  13. "acs:SourceIp": "42.120.66.0/24"
  14. }
  15. }
  16. }]
  17. }
本文导读目录