本文介绍了通过RAM的权限管理能力,通过创建用户并授予相应的权限,以满足RAM用户操作 ActionTrail 的资源。

前提条件

  • 请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。详情请参见账号注册
  • 使用RAM对ActionTrail进行授权前,请先了解ActionTrail相关API接口及其描述方式,详情请参考:RAM鉴权
  • 使用RAM对ActionTrail进行授权前,请先了解权限策略语法和结构

使用RAM授权ActionTrail操作资源

  1. 创建RAM用户
  2. 为RAM用户授权
    • 若要为 RAM 用户添加一条或多条系统策略,可根据下述ActionTrail相关系统策略授予RAM用户相应权限。
    • 如果需要更细粒度的授权,可根据下述授权样例创建相应的自定义策略并授予相应 RAM 用户。 详情请参见创建自定义策略

ActionTrail相关系统策略

ActionTrail常见的系统策略如下所示:

系统策略名称 说明
AliyunActionTrailFullAccess ActionTrail完全管理权限。
AliyunActionTrailReadOnlyAccess ActionTrail只读权限。

授权样例

  • 示例1:授予RAM用户只读权限。
    {
        "Version": "1",
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "actiontrail:LookupEvents", 
                "actiontrail:Describe*", 
                "actiontrail:Get*"
            ],
            "Resource": "*"
        }]
    }
    					
  • 示例2:仅允许RAM用户从指定的IP地址发起的只读操作。
    {
        "Version": "1",
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "actiontrail:LookupEvents", 
                "actiontrail:Describe*", 
                "actiontrail:Get*"
            ],
            "Resource": "*",
            "Condition":{
                "IpAddress": {
                    "acs:SourceIp": "42.120.XX.X/24"
                }
            }
        }]
    }