使用子账号配置日志管理前,需要给子账号授予相应的权限。

步骤一:创建授权策略

您需要为子账号创建授权策略。

  1. 登录RAM 访问控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略管理
  3. 权限策略管理页面,单击创建权限策略
  4. 进入新建自定义权限策略页面,输入策略名称,输入备注,选择配置模式为脚本配置,然后在策略内容区域内,输入授权策略的脚本,然后单击确定

    您需要为子账号创建四种授权策略:RamListRolesPolicy、MNSAccessAccountAttr、LogServiceListPolicy、OSSListBuckets,详情请参见表 1

    表 1. 授权策略
    授权策略名称 备注 策略内容
    RamListRolesPolicy RAM的ListRoles权限。 
    {
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "ram:ListRoles",
"Resource": "acs:ram:*:*:*"
}
]
}
    MNSAccessAccountAttr MNS查看和设置账号属性的权限。 
    {
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action":
[
  "mns:SetAccountAttributes",
  "mns:GetAccountAttributes"
],
"Resource": "acs:mns:*:*:*"
}
]
}
    LogServiceListPolicy LogService的ListProject和ListLogStore权限。 
    {
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "log:List*",
"Resource": "acs:log:*:*:*"
}
]
}
    OSSListBuckets OSS的ListBuckets权限。 
    {
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "oss:ListBuckets",
"Resource": "acs:oss:*:*:*"
}
]
}

步骤二:为子账号授权

创建授权策略后,您需要为子账号授予创建的授权策略。

  1. 登录RAM 访问控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,找到要授权的子账号,在其右侧操作列单击添加权限
  4. 添加权限页面,在选择权限区域,选择自定义策略,单击表 1中创建的四种授权策略,然后单击确定
  5. 单击完成