背景信息
在实际的应用场景中,主账号可能需要将日志服务的运营维护工作交予其名下的RAM用户,由RAM用户对日志服务进行日常维护工作;或者主账号名下的RAM用户可能有访问日志服务资源的需求。此时,主账号需要对其名下的RAM用户进行授权,授予其访问或者操作日志服务的权限。出于安全性的考虑,日志服务建议您将RAM用户的权限设置为需求范围内的最小权限。
主账号授权RAM用户访问日志服务资源,需要按照以下步骤完成。关于RAM用户的详细信息,请参考概述。
操作步骤
- RAM登录控制台。
完成创建用户和用户授权之后,用户就有权限访问日志服务控制台了。您可以通过以下两种方式以RAM用户身份登录控制台。
- 在访问控制服务控制台概览页面,单击RAM用户登录链接,使用步骤1中创建的RAM用户用户名和密码登录。
图 1. RAM用户登录 
- 在访问控制服务控制台概览页面,单击RAM用户登录链接,使用步骤1中创建的RAM用户用户名和密码登录。
操作样例
示例1
例如,主账号需要赋予RAM用户以下权限:
- RAM用户可以看到主账号有哪些日志服务Project。
- RAM用户对主账号的某个日志服务Project有只读的访问权限。
同时满足1、2的授权策略如下:
{
"Version": "1",
"Statement": [
{
"Action": ["log:ListProject"],
"Resource": ["acs:log:*:*:project/*"],
"Effect": "Alow"
},
{
"Action": [
"log:Get*",
"log:List*"
],
"Resource": "acs:log:*:*:project/<指定的project名称>/*",
"Effect": "Allow"
}
]
}- RAM用户可以看到主账号有哪些日志服务Project。
- RAM用户对主账号的某个日志服务Project下某些Logstore,快速查询和仪表盘有只读的访问权限。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:ListProject"
],
"Resource": "acs:log:*:*:project/*",
"Effect": "Allow"
},
{
"Action": [
"log:List*"
],
"Resource": "acs:log:*:*:project/<指定的Project名称>/logstore/*",
"Effect": "Allow"
},
{
"Action": [
"log:Get*",
"log:List*"
],
"Resource": [
"acs:log:*:*:project/<指定的Project名称>/logstore/<指定的Logstore名称>"
],
"Effect": "Allow"
},
{
"Action": [
"log:Get*",
"log:List*"
],
"Resource": [
"acs:log:*:*:project/<指定的Project名称>/dashboard/*",
"acs:log:*:*:project/<指定的Project名称>/dashboard/<指定的仪表盘名称>"
],
"Effect": "Allow"
},
{
"Action": [
"log:Get*",
"log:List*"
],
"Resource": [
"acs:log:*:*:project/<指定的Project名称>/savedsearch/*",
"acs:log:*:*:project/<指定的Project名称>/savedsearch/<指定的快速查询名称>"
],
"Effect": "Allow"
}
]
}
在文档使用中是否遇到以下问题
更多建议
匿名提交