背景信息

在实际的应用场景中,主账号可能需要将日志服务的运营维护工作交予其名下的RAM用户,由RAM用户对日志服务进行日常维护工作;或者主账号名下的RAM用户可能有访问日志服务资源的需求。此时,主账号需要对其名下的RAM用户进行授权,授予其访问或者操作日志服务的权限。出于安全性的考虑,日志服务建议您将RAM用户的权限设置为需求范围内的最小权限。

主账号授权RAM用户访问日志服务资源,需要按照以下步骤完成。关于RAM用户的详细信息,请参考入门概述

操作步骤

  1. 创建子用户。
    1. 登录访问控制服务控制台。
    2. 在左侧导航栏的人员管理菜单下,单击用户
    3. 单击新建用户,按照页面提示,输入登录名称和显示名称。
      说明 单击添加用户,可一次性创建多个用户。
    4. 访问方式区域下,选择控制台密码登录编程访问
      • 控制台密码登录:可以完成对登录安全的基本设置,包括自动生成或自定义登录密码,是否要求下次登录时重置密码,以及是否要求开启多因素认证。
      • 编程访问:将会自动为用户创建访问密钥,支持通过 API 或其他开发工具访问阿里云。
      说明 为了保障账号安全,建议仅为 RAM 用户选定一种登录方式,避免 RAM 用户离开组织后仍可以通过访问密钥访问阿里云资源。
    5. 单击 确认
  2. 授权子用户访问日志服务资源。
    日志服务提供两种系统授权策略,即AliyunLogFullAccessAliyunLogReadOnlyAccess,分别表示管理权限和只读权限。您还可以在RAM控制台自定义授权策略,创建方法参考创建自定义授权策略,权限策略示例请参考RAM自定义授权场景日志服务RAM授权策略。本文档以赋予用户AliyunLogReadOnlyAccess权限为例。
    1. 在左侧导航栏的授权菜单下,单击新增授权
    2. 被授权主体区域下,输入授权主体名称或 ID 后,单击需要授权的主体。
      说明 可以输入用户的 ID 或名称进行模糊搜索。
    3. 在左侧权限策略名称列中选择 AliyunLogReadOnlyAccess,并单击确认
  3. RAM登录控制台。
    完成创建用户和用户授权之后,用户就有权限访问日志服务控制台了。您可以通过以下两种方式以RAM用户身份登录控制台。
    1. 在访问控制服务控制台概览页面,单击用户登录地址链接,使用步骤1中创建的RAM用户用户名和密码登录。
      图 1. RAM用户登录


    2. 直接访问RAM用户通用登录页面,使用步骤1中创建的RAM用户用户名和密码登录。
      • 方式一:<$username>@<$AccountAlias>.onaliyun.com 。例如:username@company-alias.onaliyun.com
        说明 ,RAM 用户登录账号为 UPN(User Principal Name)格式,即 RAM 控制台用户列表中所见的用户登录名称此时。<$username>为 RAM 用户名称,<$AccountAlias>.onaliyun.com 为默认域名。
      • 方式二:<$username>@<$AccountAlias>。例如:username@company-alias
        说明 <$username>为 RAM 用户名称,<$AccountAlias> 为账号别名。