全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
日志服务

授权RAM子用户访问日志服务资源

更新时间:2017-10-31 11:16:31

在实际的应用场景中,主账号可能需要将日志服务的运营维护工作交予其名下的RAM子用户,由RAM子用户对日志服务进行日常维护工作;或者主账号名下的RAM子用户可能有访问日志服务资源的需求。此时,主账号需要对其名下的RAM子用户进行授权,授予其访问或者操作日志服务的权限。出于安全性的考虑,日志服务建议您将RAM子用户的权限设置为需求范围内的最小权限。

主账号授权RAM子用户访问日志服务资源,需要按照以下步骤完成。关于RAM子用户的详细信息,请参考RAM 子帐号访问控制台

步骤 1 创建RAM子用户

  1. 登录 访问控制服务控制台

  2. 用户管理页面单击页面右上角的新建用户

  3. 填写用户信息,勾选 为该用户自动生成AccessKey 并单击 确定

  4. 在弹出的验证对话框中,单击 点击获取 并输入手机验证码,然后单击 确定。您可以在用户列表中看到创建的用户。

  5. 单击创建的用户,跳转到用户详情,单击页面中的 启用控制台登录,配置用户登录密码并单击 确定

步骤 2 授权子用户访问日志服务资源

日志服务提供两种系统授权策略,即AliyunLogFullAccessAliyunLogReadOnlyAccess,分别表示管理权限和只读权限。您还可以在访问控制服务控制台可以自定义授权策略,创建方法参考创建自定义授权策略,权限策略示例请参考日志服务RAM授权策略。本文档以给子用户授予只读权限为例。

  1. 用户管理 页面找到对应的子用户,单击 授权

  2. 在弹出的对话框中,选择 AliyunLogReadOnlyAccess

  3. 在弹出的验证对话框中,单击 点击获取 并输入手机验证码,然后单击 确定

步骤 3 子用户登录控制台

完成创建子用户和子用户授权之后,子用户就有权限访问日志服务控制台了。您可以通过以下两种方式以RAM子用户身份登录控制台。

  • 在访问控制服务控制台概览页面,单击子用户登录,使用步骤1中创建的子用户用户名和密码登录。

    1

  • 访问子用户登录页登录,也可以使用RAM控制台概览页的RAM用户登录链接登录。

    其中的 [企业号别名] 默认为主账号的账号id(ali uid),可以在RAM控制台的设置->账户别名设置中查看并设置您的云帐号别名。

自定义授权示例

例如,需要赋予子账号以下权限:

  1. 子账号可以看到主账号有哪些日志服务Project。
  2. 子账号对主账号的某个日志服务Project有只读的访问权限。

同时满足1、2的授权策略如下:

  1. {
  2. "Version": "1",
  3. "Statement": [
  4. {
  5. "Action": ["log:ListProject"],
  6. "Resource": ["acs:log:*:*:project/*"],
  7. "Effect": "Allow"
  8. },
  9. {
  10. "Action": [
  11. "log:Get*",
  12. "log:List*"
  13. ],
  14. "Resource": "acs:log:*:*:project/<指定的Proejct名称>/*",
  15. "Effect": "Allow"
  16. }
  17. ]
  18. }
本文导读目录