全部产品
云市场

为子账号授予DRDS SQL审计权限

更新时间:2019-05-16 10:46:28

子账号开通或使用 DRDS SQL 审计功能之前,需要由主账号为其授权。

背景信息

使用日志服务实时日志分析, 需要如下权限:

操作类型
支持的操作账号类型
开通日志服务(全局一次性操作)
主账号
授权 DRDS 写入数据到您的日志服务 (全局一次性操作)
  • 主账号
  • 具备 AliyunLogFullAccess 权限的子账号
  • 具备指定权限的子账号
使用日志分析功能
  • 主账号
  • 具备 AliyunLogFullAccess 权限的子账号
  • 具备指定权限的子账号

您也可以根据需求为子账号授权。

  • 为子账号授予日志服务的全部操作权限:授予全部管理权限AliyunLogFullAccess。详细步骤请参考 RAM 用户
  • 主账号开启 DRDS SQL 审计分析后,为子账号授予日志查看的权限:授予只读权限AliyunLogReadOnlyAccess。详细步骤请参考 RAM 用户
  • 仅为子账号授予开通及及使用 DRDS SQL 审计与分析的权限,不授予其他日志服务管理权限:创建自定义授权策略,并为子账号授予该自定义授权策略。详细步骤请参考本文档。

操作步骤

  1. 登录 RAM 控制台
  2. 在策略管理中打开自定义授权策略页签。
  3. 在页面右上角单击新建授权策略。
  4. 单击空白模板,并输入策略名称和策略内容。 请替换参数后,输入以下策略内容。您也可以添加其他自定义授权内容。

    说明 请将 ${Project}${Logstore}替换为您的日志服务 Project 和 Logstore 名称。

    1. {
    2. "Version": "1",
    3. "Statement": [
    4. {
    5. "Action": "log:GetProject",
    6. "Resource": "acs:log:*:*:project/${Project}",
    7. "Effect": "Allow"
    8. },
    9. {
    10. "Action": "log:CreateProject",
    11. "Resource": "acs:log:*:*:project/*",
    12. "Effect": "Allow"
    13. },
    14. {
    15. "Action": "log:ListLogStores",
    16. "Resource": "acs:log:*:*:project/${Project}/logstore/*",
    17. "Effect": "Allow"
    18. },
    19. {
    20. "Action": "log:CreateLogStore",
    21. "Resource": "acs:log:*:*:project/${Project}/logstore/*",
    22. "Effect": "Allow"
    23. },
    24. {
    25. "Action": "log:GetIndex",
    26. "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
    27. "Effect": "Allow"
    28. },
    29. {
    30. "Action": "log:CreateIndex",
    31. "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
    32. "Effect": "Allow"
    33. },
    34. {
    35. "Action": "log:UpdateIndex",
    36. "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
    37. "Effect": "Allow"
    38. },
    39. {
    40. "Action": "log:CreateDashboard",
    41. "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
    42. "Effect": "Allow"
    43. },
    44. {
    45. "Action": "log:UpdateDashboard",
    46. "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
    47. "Effect": "Allow"
    48. },
    49. {
    50. "Action": "log:CreateSavedSearch",
    51. "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
    52. "Effect": "Allow"
    53. },
    54. {
    55. "Action": "log:UpdateSavedSearch",
    56. "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
    57. "Effect": "Allow"
    58. }
    59. ]
    60. }

    image.png | left | 744x568

  5. 单击新建授权策略。

  6. 在左侧导航栏中单击用户管理。
  7. 找到子账号并单击对应的授权。
  8. 添加上文中创建的自定义授权策略,并单击确定。