使用子账号配置日志管理前,需要给子账号授予相应的权限。

步骤一:创建授权策略

您需要为子账号创建四种授权策略:RamListRolesPolicy、MNSAccessAccountAttr、LogServiceListPolicy、OSSListBuckets,详情请参见表 1

  1. 登录RAM 访问控制台
  2. 在左侧导航栏,选择授权管理 > 权限策略管理
  3. 权限策略管理页面,单击新建权限策略
  4. 输入授权策略名称和备注。
  5. 勾选脚本配置配置模式,然后在策略内容区域内,输入授权策略的脚本。
说明
表 1. 授权策略
授权策略名称 备注 策略内容
RamListRolesPolicy RAM的ListRoles权限 
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ram:ListRoles",
"Resource": "acs:ram:*:*:*"
}
]
}
MNSAccessAccountAttr MNS查看和设置账号属性的权限 
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action":
[
  "mns:SetAccountAttributes",
  "mns:GetAccountAttributes"
],
"Resource": "acs:mns:*:*:*"
}
]
}
LogServiceListPolicy LogService的ListProject和ListLogStore权限 
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "log:List*",
"Resource": "acs:log:*:*:*"
}
]
}
OSSListBuckets OSS的ListBuckets权限 
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "oss:ListBuckets",
"Resource": "acs:oss:*:*:*"
}
]
}

步骤二:为子账号授权

创建授权策略后,您需要为子账号授予创建的授权策略。

  1. 登录RAM 访问控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,勾选要授权的子账号,单击底部的添加权限按钮。
  4. 添加权限页面的选择权限区域,选择您在步骤一:创建授权策略中创建的四种自定义授权策略,然后单击确定