全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
日志服务

概览

更新时间:2017-07-20 17:38:15

借助 RAM 实现子账号对主账号的 Log Service 资源的访问

您创建的 project、logstore、config、machinegroup,都是您自己拥有的资源。默认情况下,您对自己的资源拥有完整的操作权限,可以使用本文档中列举的所有 API 对资源进行操作。

但在主子账号的场景下,子账号刚创建时是没有资格去操作主账号的资源的。需要通过 RAM 授权的方式,给予子账号操作主账号资源的权限。

注意:在了解如何使用 RAM 来授权和访问 Log Service 资源之前,请确保您已详细阅读了 RAM 产品文档API 文档

RAM 控制台中和日志服务相关的授权策略主要有三个:

  • AliyunLogFullAccess

    给子用户授予该权限,那么子用户将对父账号拥有的日志服务的资源有完全的访问权限。授权策略描述如下:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": "log:*",
    6. "Resource": "*",
    7. "Effect": "Allow"
    8. }
    9. ]
    10. }
  • AliyunLogReadOnlyAccess

    给子用户授予该权限,那么子用户将对父账号拥有的日志服务的资源有只读的访问权限。授权策略描述如下:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": [
    6. "log:Get*",
    7. "log:List*"
    8. ],
    9. "Resource": "*",
    10. "Effect": "Allow"
    11. }
    12. ]
    13. }
  • 向指定日志库(logstore)上传数据

    给予用户授予该权限,那么子用户将可以通过API/SDK直接向指定日志库上传数据,授权策略描述如下:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": [
    6. "log:Post*",
    7. "log:BatchPost*"
    8. ],
    9. "Resource": "*",
    10. "Effect": "Allow"
    11. }
    12. ]
    13. }
  • 控制台查询指定日志库(logstore)数据

    给子用户授予该权限,那么子用户在登录控制台后将对父账号拥有指定日志库资源只读的访问权限(查询日志/拖取日志/查看日志库列表)。授权策略描述如下:

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": ["log:ListProject", "log:ListLogStores"],
    6. "Resource": ["acs:log:*:*:project/<指定的 proejct 名称>/*"],
    7. "Effect": "Allow"
    8. },
    9. {
    10. "Action": ["log:Get*"],
    11. "Resource": ["acs:log:*:*:project/<指定的 proejct 名称>/logstore/<指定的 logstore 名称>"],
    12. "Effect": "Allow"
    13. }
    14. ]
    15. }

如果您不需要跨账户进行 Log Service 资源的授权和访问,您可以跳过此章节。跳过这些部分并不影响您对文档中其余部分的理解和使用。

更多信息:

本文导读目录