日志服务支持通过主账号为子账号授予相关资源权限,方便子账号对部分资源进行操作。本文档主要介绍为子账号授权的资源类型。

目前可以授予RAM用户的资源类型及其描述方式如下表所示。

资源类型 授权策略中的资源描述方式
Project/Logstore acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}
Project/Logstore/Shipper acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/shipper/${shipperName}
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/*
Project/Config acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailconfig}
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/*
Project/MachineGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/*
Project/ConsumerGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/consumergroup/${consumerGroupName}
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/consumergroup/*
Project/SavedSearch acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/savedsearch/${savedSearchName}
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/savedsearch/*
Project/Dashboard acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/dashboard/${dashboardName}
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/dashboard/*
Project/Alarm acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/alert/${alarmName}
acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/alert/*
泛指模式 acs:log:${regionName}:${projectOwnerAliUid}:*
acs:log:*:${projectOwnerAliUid}:*
说明 Log Service中的资源具有层级关系。Project是根资源,Logstore、config、machinegroup是Project的子资源且相互之间平级,shipper和consumergroup是Logstore的子资源。
授权策略中各个参数的说明如下。
参数 说明
${regionName} 某个region的名称。
${projectOwnerAliUid} 阿里云账号ID。
${projectName} Project的名称。
${logstoreName} Logstore的名称。
${logtailconfig} Logtail配置的名称。
${machineGroupName} 机器组的名称。
${shipperName} 日志投递规则的名称。
${consumerGroupName} 协同消费组的名称。
${savedSearchName} 快速查询的名称。
${dashboardName} 仪表盘的名称。
${alarmName} 报警规则的名称。