授予RAM用户告警操作权限 - 日志服务

本文介绍如何为阿里云RAM用户授予告警操作权限。

前提条件

已创建RAM用户。具体操作，请参见步骤一：创建RAM用户。

背景信息

您可以通过如下两种方式给RAM用户授予告警操作的权限。

极简授权：权限较大，操作简单。
使用阿里云账号登录RAM控制台，为RAM用户授予全部管理权限（AliyunLogFullAccess）。更多信息，请参见创建RAM用户及授权。
自定义权限策略：权限精细，配置复杂。
本文以此方式为例进行授权操作。

操作步骤

登录RAM 控制台。

创建权限策略。

在左侧导航栏中，选择权限管理 > 权限策略。
单击创建权限策略。

在创建权限策略页面的脚本编辑页签中，将配置框中的原有脚本替换为如下内容，然后单击下一步。

Project名称表示用于管理告警数据的Project，请根据实际情况替换。
sls-alert-*表示当前阿里云账号下所有的全局告警中心Project。全局告警中心Project中包含该账号下所有告警规则的评估数据和发送的日志，告警相关的全局报表等。
如果您只想授权RAM用户操作单个全局告警中心Project的权限，您可以将sls-alert-*配置为单个Project的名称，格式为sls-alert-${uid}-${region}，例如sls-alert-148****6461-cn-hangzhou。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateLogStore",
        "log:CreateIndex",
        "log:UpdateIndex"
      ],
      "Resource": [
        "acs:log:*:*:project/Project名称/logstore/internal-alert-history",
        "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateDashboard",
        "log:CreateChart",
        "log:UpdateDashboard"
      ],
      "Resource": [
        "acs:log:*:*:project/Project名称/dashboard/*",
        "acs:log:*:*:project/sls-alert-*/dashboard/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "log:*"
      ],
      "Resource": "acs:log:*:*:project/Project名称/job/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateProject"
      ],
      "Resource": [
        "acs:log:*:*:project/sls-alert-*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "log:GetLogStoreLogs",
        "log:ListLogStores",
        "log:GetIndex"
      ],
      "Resource": [
        "acs:log:*:*:project/Project名称",
        "acs:log:*:*:project/Project名称/*",
        "acs:log:*:*:project/sls-alert-*/*"
      ]
    }
  ]
}

设置名称，然后单击确定。

为RAM用户授权。
1. 在左侧导航栏中，选择身份管理 > 用户。
2. 找到目标RAM用户，单击添加权限。
3. 单击系统策略，选中AliyunRAMReadOnlyAccess。
4. 单击自定义策略，选中2中创建的策略，然后单击确定。
5. 单击完成。