授权子账号使用访问日志_访问日志_日志管理

子账号使用负载均衡访问日志功能前，需要主账号对其进行授权。

前提条件

主账号已开通日志访问功能。

以主账号登录RAM控制台。
单击角色管理，查看主账号是否具有负载均衡日志访问角色AliyunLogArchiveRole。
如果主账号没有该角色权限，请以主账号登录负载均衡控制台，选择日志管理 > 访问日志，单击立即授权，然后在弹出的对话框，单击同意授权，授权SLB访问日志服务。

说明该操作只有首次配置时需要。

操作步骤

创建授权策略：

使用主账号登录访问控制RAM控制台。
在左侧导航栏，单击策略管理，然后单击新建授权策略。
单击空白模板。

输入策略名称，如SlbAccessLogPolicySet，然后输入以下策略内容，单击新建授权策略。

{
"Statement": [
 {
   "Action": [
     "slb:Create*",
     "slb:List*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*"
 },
 {
   "Action": [
     "log:Create*",
     "log:List*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*"
 },
 {
   "Action": [
     "log:Create*",
     "log:List*",
     "log:Get*",
     "log:Update*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*/logstore/*"
 },
 {
   "Action": [
     "log:Create*",
     "log:List*",
     "log:Get*",
     "log:Update*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*/dashboard/*"
 },
 {
   "Action": "cms:QueryMetric*",
   "Resource": "*",
   "Effect": "Allow"
 },
 {
   "Action": [
     "slb:Describe*",
     "slb:DeleteAccessLogsDownloadAttribute",
     "slb:SetAccessLogsDownloadAttribute",
     "slb:DescribeAccessLogsDownloadAttribute"
   ],
   "Resource": "*",
   "Effect": "Allow"
 },
 {
   "Action": [
     "ram:Get*",
     "ram:ListRoles"
   ],
   "Effect": "Allow",
   "Resource": "*"
 }
],
"Version": "1"
}

单击关闭。

给子账号授权：
1. 在访问控制RAM控制台的左侧导航栏，单击用户管理。
2. 找到目标用户（需要使用访问日志功能的子账号），然后单击授权。
3. 搜索已创建的策略，然后选择该策略授权给目标用户。
4. 单击确定。
5. 返回用户详情页面，查看用户已经拥有了新建的策略，可以使用负载均衡日志访问功能了。