为RAM用户授权后,用户可以访问日志服务。本文为您介绍如何为RAM用户授权。

背景信息

在实际的应用场景中,主账号可能需要将日志服务的运营维护工作交予其名下的RAM用户,由RAM用户对日志服务进行日常维护工作。或者主账号名下的RAM用户可能有访问日志服务资源的需求。此时,主账号需要对其名下的RAM用户进行授权,授予其访问或者操作日志服务的权限。出于安全性的考虑,日志服务建议您将RAM用户的权限设置为需求范围内的最小权限。

主账号授权RAM用户访问日志服务资源,需要按照以下步骤完成。关于RAM用户的详细信息请参见入门概述

创建RAM用户

  1. 登录RAM控制台
  2. 在左侧导航栏,单击人员管理 > 用户
  3. 单击创建用户
  4. 输入登录名称显示名称
  5. 选中控制台密码登录编程访问
    • 控制台密码登录:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
    • 编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
    说明 为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
  6. 单击确认

授权RAM用户

日志服务提供两种系统授权策略,即AliyunLogFullAccessAliyunLogReadOnlyAccess,分别表示管理权限和只读权限。您还可以在RAM控制台自定义授权策略,创建方法参见创建自定义授权策略,权限策略示例请参见RAM自定义授权场景日志服务RAM授权策略。下文以赋予用户AliyunLogReadOnlyAccess权限为例。

  1. 在左侧导航栏,单击人员管理 > 用户
  2. 找到目标用户,单击添加权限
  3. 添加权限页面,选中系统策略下的AliyunLogReadOnlyAccess,并单击确定
  4. 确认授权结果,单击完成

RAM登录控制台

完成创建用户和用户授权之后,您可以通过以下两种方式以RAM用户身份登录控制台。

  • 概览页面右侧账号管理区域,单击用户登录地址链接,使用已创建的RAM用户名和密码登录。
  • 直接访问RAM用户通用登录页面,使用已创建的RAM用户名和密码登录。
    • 方式一:<$username>@<$AccoutAlias>.onaliyun.com。例如:username@company-alias.onaliyun.com
      说明 RAM用户登录账号为UPN(User Principal Name)格式,即RAM控制台用户列表中所见的用户登录名称此时。<$username>为RAM用户名称<$AccoutAlias>.onaliyun.com为默认域名。
    • 方式二:<$username>@<$AccoutAlias>。例如:username@company-alias
      说明 <$username>为RAM用户名称,<$AccoutAlias>为账号别名。