授予RAM用户告警操作权限 - 日志服务

本文档介绍如何创建阿里云RAM用户并授予其告警操作权限。

前提条件

已创建RAM用户。具体操作，请参见创建RAM用户。

背景信息

您可以通过如下两种方式给RAM用户授予告警操作的权限。

极简授权：权限较大，操作简单。
- 使用阿里云账号登录RAM控制台，为RAM用户授予全部管理权限（AliyunLogFullAccess）。更多信息，请参见创建RAM用户及授权。
- 如果允许RAM用户使用内置角色或者自定义角色查询时序库或日志库，还需要给RAM授权角色对应的ram:PassRole权限，权限策略如下：
```
{
     "Action": "ram:PassRole",
     "Effect": "Allow",
     "Resource": "acs:ram::阿里云账号ID:角色ARN"
 }
```
  创建内置角色或者自定义角色授权，请参见配置访问控制。
自定义权限策略：权限精细，配置复杂。
本文以此方式为例进行授权操作。

操作步骤

登录RAM 控制台。

创建权限策略。

在左侧导航栏中，选择权限管理 > 权限策略管理。
单击创建权限策略。

在新建自定义权限策略页面中，配置如下参数，并单击确定。

参数描述

策略名称配置策略名称。

配置模式选择脚本配置。

参数	描述
策略名称	配置策略名称。
配置模式	选择脚本配置。
策略内容	将配置框中的原有脚本替换为如下内容。请根据实际情况替换`Project名称`。 `sls-alert-`为当前阿里云账号的全局告警中心Project，格式为`sls-alert-${uid}-${region}`，包含该账号下所有告警的规则、排障报表。 { "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:::project/Project名称/logstore/internal-alert-history", "acs:log:::project/sls-alert-/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": [ "acs:log:::project/Project名称/dashboard/", "acs:log:::project/sls-alert-/dashboard/" ] }, { "Effect": "Allow", "Action": [ "log:" ], "Resource": "acs:log:::project/Project名称/job/" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:::project/sls-alert-" ] }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs", "log:GetIndex" ], "Resource": "acs:log:::project/Project名称/*" }, { "Action": "ram:PassRole", "Effect": "Allow", "Resource": "acs:ram::阿里云账号ID:角色ARN" } ] }

策略内容

将配置框中的原有脚本替换为如下内容。

请根据实际情况替换Project名称。
sls-alert-*为当前阿里云账号的全局告警中心Project，格式为sls-alert-${uid}-${region}，包含该账号下所有告警的规则、排障报表。

{
    "Version": "1",
    "Statement": [
   {
        "Effect": "Allow",
     "Action": [
       "log:CreateLogStore",
       "log:CreateIndex",
       "log:UpdateIndex"
     ],
     "Resource": [
       "acs:log:*:*:project/Project名称/logstore/internal-alert-history",
       "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
     ]
     },
   {
     "Effect": "Allow",
     "Action": [
       "log:CreateDashboard",
       "log:CreateChart",
       "log:UpdateDashboard"
     ],
     "Resource": [
      "acs:log:*:*:project/Project名称/dashboard/*",
      "acs:log:*:*:project/sls-alert-*/dashboard/*"
    ]
   },
   {
     "Effect": "Allow",
     "Action": [
        "log:*"
     ],
     "Resource": "acs:log:*:*:project/Project名称/job/*"
   },
   {
     "Effect": "Allow",
     "Action": [
        "log:CreateProject"
     ],
     "Resource": [
        "acs:log:*:*:project/sls-alert-*"
     ]
   },
   {
      "Effect": "Allow",
      "Action": [
        "log:GetLogStoreLogs",
        "log:GetIndex"
      ],
      "Resource": "acs:log:*:*:project/Project名称/*"
   },
   {
     "Action": "ram:PassRole",
     "Effect": "Allow",
     "Resource": "acs:ram::阿里云账号ID:角色ARN"
   }
 ]
}

为RAM用户授权。
1. 在左侧导航栏中，选择人员管理 > 用户。
2. 找到目标RAM用户，单击添加权限。
3. 单击系统策略，选中AliyunRAMReadOnlyAccess。
4. 单击自定义策略，选中步骤2中创建的策略，单击确定。
5. 单击完成。