您可以授予RAM用户访问和管理操作审计的权限,包括查询历史事件、管理跟踪、管理事件告警等。

前提条件

  • 请确保您已创建RAM用户。具体操作,请参见创建RAM用户
  • 请确保您已创建操作审计服务关联角色(AliyunServiceRoleForActionTrail)。具体操作,请参见创建服务关联角色

操作步骤

  1. 登录RAM控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,单击目标RAM用户操作列的添加权限
  4. 添加权限面板,选择授权应用范围整个云账号,然后选择权限策略。
    • 系统策略:从权限策略名称列表,选择需要的权限。
      权限策略名称 说明
      AliyunActionTrailReadOnlyAccess 查看操作审计
      AliyunActionTrailFullAccess 管理操作审计
      AliyunOSSReadOnlyAccess 查看对象存储
      AliyunLogReadOnlyAccess 查询日志服务
    • 自定义策略:您需要先创建自定义策略,然后从权限策略名称列表,选择需要的权限。

      关于如何创建自定义策略,请参见创建自定义策略

      • 示例一:授予RAM用户操作审计的所有权限,以及获取OSS Bucket列表和SLS Project列表的权限,以便管理跟踪。

        示例代码:

        {
            "Version": "1",
            "Statement": [
                {
                    "Action": [
                        "actiontrail:*",
                        "oss:GetService",
                        "log:ListProject"
                    ],
                    "Resource": "*",
                    "Effect": "Allow"
                }
            ]
        }
                                

        权限说明:

        Action 说明
        oss:GetService 获取OSS Bucket列表的权限
        log:ListProject 获取SLS Project列表的权限
        actiontrail:* 操作审计所有操作的权限
      • 示例二:授予RAM用户管理跟踪和在日志服务SLS中管理Logstore、索引、看板、图表、日志项目的相关权限,以便管理事件告警。

        示例代码:

        { 
            "Version": "1", 
            "Statement": [
              {
             "Effect": "Allow",
             "Action": [
               "actiontrail:DescribeTrails",
               "actiontrail:SetDefaultTrail",
               "actiontrail:GetDefaultTrail",
               "actiontrail:CreateTrail"
             ],
             "Resource": "*"   
             },
           {
             "Effect": "Allow",
             "Action": [
               "log:CreateLogStore",
               "log:CreateIndex",
               "log:UpdateIndex"
             ],
             "Resource": [
               "acs:log:*:*:project/Project名称/logstore/internal-alert-history",
               "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
             ]   
             },
           {
             "Effect": "Allow",
             "Action": [
               "log:CreateDashboard",
               "log:CreateChart",
               "log:UpdateDashboard"
             ],
             "Resource": "acs:log:*:*:project/Project名称/dashboard/*"
           },
           {
             "Effect": "Allow",
             "Action": [
               "log:*"
             ],
             "Resource": "acs:log:*:*:project/Project名称/job/*"   
             },
           {
             "Effect": "Allow",
             "Action": [
               "log:CreateProject"
             ],
             "Resource": [
               "acs:log:*:*:project/sls-alert-*"
             ]
           }
         ]
        }

        权限说明:

        Action 说明
        actiontrail:DescribeTrails 查询跟踪
        actiontrail:SetDefaultTrail 设置事件告警的默认跟踪
        actiontrail:GetDefaultTrail 获取事件告警的默认跟踪
        actiontrail:CreateTrail 创建跟踪
        log:CreateLogstore 创建Logstore
        log:CreateIndex 创建索引
        log:UpdateIndex 更新索引
        log:CreateDashboard 创建看板
        log:CreateChart 创建图表
        log:UpdateDashboard 更新看板
        log:CreateProject 创建日志项目
  5. 单击确定
  6. 单击完成