日志服务支持通过主账号为子账号授予相关资源权限,方便子账号对部分资源进行操作。本文档主要介绍为子账号授权的资源类型。
目前可以授予RAM用户的资源类型及其描述方式如下:
| 资源类型 | 授权策略中的资源描述方式 |
|---|---|
| Project、Logstore | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName} |
| Project、Logstore、Shipper | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/shipper/${shipperName} |
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/* |
|
| Project、Config | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName} |
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/* |
|
| Project、MachineGroup | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName} |
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/* |
|
| Project、ConsumerGroup | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/consumergroup/${consumerGroupName} |
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/consumergroup/* |
|
| Project、SavedSearch | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/savedsearch/${savedSearchName} |
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/savedsearch/* |
|
| Project、Dashboard | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/dashboard/${dashboardName} |
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/dashboard/* |
|
| Project、Alarm | acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/alert/${alarmName} |
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/alert/* |
|
| 泛指模式 | acs:log:${regionName}:${projectOwnerAliUid}:* |
acs:log:*:${projectOwnerAliUid}:* |
说明 Log Service中的资源具有层级关系。Project是根资源,Logstore、config、machinegroup是Project的子资源且相互之间平级,shipper和consumergroup是Logstore的子资源。
授权策略中各个参数的说明如下:
| 参数 | 说明 |
|---|---|
${regionName} |
某个region的名称。 |
${projectOwnerAliUid} |
阿里云账号ID。 |
${projectName} |
Project的名称。 |
${logstoreName} |
Logstore的名称。 |
${logtailconfig} |
Logtail配置的名称。 |
${machineGroupName} |
机器组的名称。 |
${shipperName} |
日志投递规则的名称。 |
${consumerGroupName} |
协同消费组的名称。 |
${savedSearchName} |
快速查询的名称。 |
${dashboardName} |
仪表盘的名称。 |
${alarmName} |
报警规则的名称。 |