您可以使用阿里云 RAM 服务,创建 RAM 用户并授权其 ActionTrail 的操作权限。为了遵循最佳安全实践,建议您使用 RAM 用户来操作 ActionTrail。

RAM 中可授权的 ActionTrail 操作列表

RAM 中可授权的 ActionTrail 的操作(Action)如下:

  • CreateTrail
  • UpdateTrail
  • DeleteTrail
  • DescribeTrails
  • GetTrailStatus
  • StartLogging
  • StopLogging
  • LookupEvents

资源标识格式

在 RAM 的权限策略中,云资源按以下格式标识:

资源(Resource) 说明
* 所有云资源。
acs:actiontrail:${region}:${AccountId}:* 指定区域的资源。

授权策略样例

  • 示例 1:授予 RAM 用户只读权限。
    {
        "Version": "1",
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "actiontrail:LookupEvents", 
                "actiontrail:Describe*", 
                "actiontrail:Get*"
            ],
            "Resource": "*"
        }]
    }
    					
  • 示例 2:仅允许 RAM 用户从指定的 IP 地址发起的只读操作。
    {
        "Version": "1",
        "Statement": [{
            "Effect": "Allow",
            "Action": [
                "actiontrail:LookupEvents", 
                "actiontrail:Describe*", 
                "actiontrail:Get*"
            ],
            "Resource": "*",
            "Condition":{
                "IpAddress": {
                    "acs:SourceIp": "42.120.XX.X/24"
                }
            }
        }]
    }