通过给子账号授权,可以使用子账号进行数据加工操作。本文档介绍如何授权阿里云子账号操作数据加工功能。

背景信息

子账号进行日志服务数据加工必须由主账号为其授权,包括:
  • 创建、删除、修改、更新数据加工任务及配置。
  • 读取源Logstore数据进行加工任务预览。
您可以通过如下两种方式给子账号授予日志服务数据加工功能权限。
  • 极简授权:权限较大,操作简单。
  • 自定义权限策略:权限精细,配置复杂。

极简授权

使用主账号登录控制台,为子账号授予全部管理权限AliyunLogFullAccess。详细步骤请参见授权RAM用户

自定义权限策略

  1. 云账号登录RAM控制台
  2. 在左侧导航栏的权限管理菜单下,单击权限策略管理
  3. 单击新建权限策略,并填写策略名称备注
  4. 配置模式选择脚本配置,替换参数后输入以下策略内容,然后单击确定
    说明 请将<Project名称><Logstore名称>替换为进行数据加工的日志服务Project名称和源Logstore名称。
    {
        "Version":"1",
        "Statement":[
            {
                "Effect":"Allow",
                "Action":[
                    "log:CreateLogStore",
                    "log:CreateIndex",
                    "log:UpdateIndex",
                    "log:Get*"
                ],
                "Resource":"acs:log:*:*:project/<Project名称>/logstore/internal-etl-log"
            },
            {
                "Action":[
                    "log:List*"
                ],
                "Resource":"acs:log:*:*:project/<Project名称>/logstore/*",
                "Effect":"Allow"
            },
            {
                "Action":[
                    "log:Get*",
                    "log:List*"
                ],
                "Resource":[
                    "acs:log:*:*:project/<Project名称>/logstore/<Logstore名称>"
                ],
                "Effect":"Allow"
            },
            {
                "Effect":"Allow",
                "Action":[
                    "log:GetDashboard",
                    "log:CreateDashboard",
                    "log:UpdateDashboard"
                ],
                "Resource":"acs:log:*:*:project/<Project名称>/dashboard/internal-etl-insight"
            },
            {
                "Effect":"Allow",
                "Action":"log:CreateDashboard",
                "Resource":"acs:log:*:*:project/<Project名称>/dashboard/*"
            },
            {
                "Effect":"Allow",
                "Action":[
                    "log:*"
                ],
                "Resource":"acs:log:*:*:project/<Project名称>/job/*"
            },
            {
                "Effect":"Allow",
                "Action":[
                    "log:*"
                ],
                "Resource":"acs:log:*:*:project/<Project名称>/jobschedule/*"
            }
        ]
    }
  5. 在左侧导航栏的人员管理菜单下,单击用户
  6. 用户登录名称/显示名称列表下,找到目标RAM用户。单击添加权限,被授权主体会自动填入。
  7. 添加上面创建的自定义权限策略,并单击确定
  8. 单击完成