文档

授予RAM用户告警操作权限

更新时间:

本文介绍如何为阿里云RAM用户授予告警操作权限。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

背景信息

您可以通过如下两种方式分别给RAM用户授予日志服务告警的只读权限和管理权限。

  • 极简授权:权限较大,操作简单。

  • 自定义权限策略:权限精细,配置复杂。

告警只读权限

极简授权

使用阿里云账号登录RAM控制台,为RAM用户授予告警只读管理权限(AliyunLogReadOnlyAccess)。具体操作,请参见为RAM用户授权

自定义权限策略

  1. 使用阿里云账号登录RAM控制台

  2. 创建权限策略。

    1. 在左侧导航栏中,选择权限管理 > 权限策略

    2. 单击创建权限策略

    3. 创建权限策略页面的脚本编辑页签中,将配置框中的原有脚本替换为如下内容,然后单击继续编辑基本信息

      • Project名称表示用于只读告警数据的Project,请根据实际情况替换。

      • sls-alert-*表示当前阿里云账号下所有的全局告警中心Project。全局告警中心Project中包含该账号下所有告警规则的评估数据和发送的日志,告警相关的全局报表等。

        如果您不需要查看全局报表信息,可以在资源列表中删除acs:log:*:*:project/sls-alert-*/*

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "log:GetJob",
              "log:ListJobs"
            ],
            "Resource": "acs:log:*:*:project/Project名称/job/*"
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:GetLogStoreLogs",
              "log:ListLogStores",
              "log:GetIndex",
              "log:GetDashboard",
              "log:ListDashboard"
            ],
            "Resource": [
              "acs:log:*:*:project/Project名称",
              "acs:log:*:*:project/Project名称/*",
              "acs:log:*:*:project/sls-alert-*/*"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:GetResource",
              "log:ListResources",
              "log:GetResourceRecord",
              "log:ListResourceRecords"
            ],
            "Resource": [
              "acs:log:*:*:resource/*"
            ]
          }
        ]
      }
    4. 设置名称,然后单击确定

  3. 为RAM用户授权。

    1. 在左侧导航栏中,选择身份管理 > 用户

    2. 找到目标RAM用户,单击添加权限

    3. 添加权限面板的选择权限区域,单击自定义策略,选中您在步骤2中创建的权限策略,然后单击确定

    4. 确认授权成功后,单击完成

告警管理权限

极简授权

使用阿里云账号登录RAM控制台,为RAM用户授予日志服务管理权限(AliyunLogFullAccess)。具体操作,请参见为RAM用户授权

自定义权限策略

  1. 使用阿里云账号登录RAM控制台

  2. 创建权限策略。

    1. 在左侧导航栏中,选择权限管理 > 权限策略

    2. 单击创建权限策略

    3. 创建权限策略页面的脚本编辑页签中,将配置框中的原有脚本替换为如下内容,然后单击继续编辑基本信息

      • Project名称表示用于管理告警数据的Project,请根据实际情况替换。

      • sls-alert-*表示当前阿里云账号下所有的全局告警中心Project。全局告警中心Project中包含该账号下所有告警规则的评估数据和发送的日志,告警相关的全局报表等。

        如果您只想授权RAM用户操作单个全局告警中心Project的权限,您可以将sls-alert-*配置为单个Project的名称,格式为sls-alert-${uid}-${region},例如sls-alert-148****6461-cn-hangzhou。

      • 创建Logstore、创建索引及更新索引的权限策略,用于RAM用户操作告警相关的系统日志库(告警历史日志库、全局告警中心日志库),从而进行告警历史等报表的查看。

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "log:CreateLogStore",
              "log:CreateIndex",
              "log:UpdateIndex"
            ],
            "Resource": [
              "acs:log:*:*:project/Project名称/logstore/internal-alert-history",
              "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:*"
            ],
            "Resource": "acs:log:*:*:project/Project名称/job/*"
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:CreateProject"
            ],
            "Resource": [
              "acs:log:*:*:project/sls-alert-*"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:GetLogStoreLogs",
              "log:ListLogStores",
              "log:GetIndex",
              "log:GetDashboard",
              "log:CreateDashboard",
              "log:UpdateDashboard",
              "log:ListDashboard"
            ],
            "Resource": [
              "acs:log:*:*:project/Project名称",
              "acs:log:*:*:project/Project名称/*",
              "acs:log:*:*:project/sls-alert-*/*"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:*"
            ],
            "Resource": [
              "acs:log:*:*:resource/*"
            ]
          }
        ]
      }
    4. 设置名称,然后单击确定

  3. 为RAM用户授权。

    1. 在左侧导航栏中,选择身份管理 > 用户

    2. 找到目标RAM用户,单击添加权限

    3. 添加权限面板的选择权限区域,单击自定义策略,选中您在步骤2中创建的权限策略,然后单击确定

    4. 确认授权成功后,单击完成

  • 本页导读 (1)
文档反馈