使用子账号配置日志管理前,需要给子账号授予相应的权限。

步骤一:创建授权策略

您需要为子账号创建授权策略。

  1. 登录RAM 访问控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略管理
  3. 权限策略管理页面,单击 创建权限策略
  4. 进入新建自定义权限策略页面,输入策略名称,输入备注,选择配置模式为 脚本配置,然后在 策略内容区域内,输入授权策略的脚本,然后单击 确定

    您需要为子账号创建四种授权策略:RamListRolesPolicy、MNSAccessAccountAttr、LogServiceListPolicy、OSSListBuckets,详情请参见表 1

    表 1. 授权策略
    授权策略名称 备注 策略内容
    RamListRolesPolicy RAM的ListRoles权限。
    {
    "Version": "1",
    "Statement": [
    {
    "Effect": "Allow",
    "Action": "ram:ListRoles",
    "Resource": "acs:ram:*:*:*"
    }
    ]
    }
    MNSAccessAccountAttr MNS查看和设置账号属性的权限。
    {
    "Version": "1",
    "Statement": [
    {
    "Effect": "Allow",
    "Action":
    [
      "mns:SetAccountAttributes",
      "mns:GetAccountAttributes"
    ],
    "Resource": "acs:mns:*:*:*"
    }
    ]
    }
    LogServiceListPolicy LogService的ListProject和ListLogStore权限。
    {
    "Version": "1",
    "Statement": [
    {
    "Effect": "Allow",
    "Action": "log:List*",
    "Resource": "acs:log:*:*:*"
    }
    ]
    }
    OSSListBuckets OSS的ListBuckets权限。
    {
    "Version": "1",
    "Statement": [
    {
    "Effect": "Allow",
    "Action": "oss:ListBuckets",
    "Resource": "acs:oss:*:*:*"
    }
    ]
    }

步骤二:为子账号授权

创建授权策略后,您需要为子账号授予创建的授权策略。

  1. 登录RAM 访问控制台
  2. 在左侧导航栏,选择人员管理 > 用户
  3. 用户页面,找到要授权的子账号,在其右侧操作列单击添加权限
  4. 添加权限页面,在选择权限区域,选择自定义策略,单击表 1中创建的四种授权策略,然后单击确定
  5. 单击完成