为RAM用户授权后,用户可以访问日志服务。本文为您介绍如何为RAM用户授权。

背景信息

在实际的应用场景中,主账号可能需要将日志服务的运营维护工作交予其名下的RAM用户,由RAM用户对日志服务进行日常维护工作;或者主账号名下的RAM用户可能有访问日志服务资源的需求。此时,主账号需要对其名下的RAM用户进行授权,授予其访问或者操作日志服务的权限。出于安全性的考虑,日志服务建议您将RAM用户的权限设置为需求范围内的最小权限。

主账号授权RAM用户访问日志服务资源,需要按照以下步骤完成。关于RAM用户的详细信息,请参考入门概览

创建RAM用户

  1. 云账号登录RAM控制台
  2. 在左侧导航栏的人员管理菜单下,单击用户
  3. 单击新建用户
    说明 单击添加用户,可一次性创建多个RAM用户。
  4. 输入登录名称显示名称
  5. 访问方式区域下,选择控制台密码登录编程访问
    • 控制台密码登录:完成对登录安全的基本设置,包括自动生成或自定义登录密码、是否要求下次登录时重置密码以及是否要求开启多因素认证。
    • 编程访问:自动为RAM用户生成访问密钥(AccessKey),支持通过API或其他开发工具访问阿里云。
    说明 为了保障账号安全,建议仅为RAM用户选择一种登录方式,避免RAM用户离开组织后仍可以通过访问密钥访问阿里云资源。
  6. 单击确认

授权RAM用户

日志服务提供两种系统授权策略,即AliyunLogFullAccessAliyunLogReadOnlyAccess,分别表示管理权限和只读权限。您还可以在RAM控制台自定义授权策略,创建方法参考创建自定义授权策略,权限策略示例请参考RAM自定义授权场景日志服务RAM授权策略。本文档以赋予用户AliyunLogReadOnlyAccess权限为例。

  1. 在左侧导航栏的权限管理菜单下,单击授权
  2. 单击新增授权
  3. 被授权主体区域下,输入RAM用户名称后,单击需要授权的RAM用户。
  4. 在左侧权限策略名称列中选择 AliyunLogReadOnlyAccess,并单击确认
  5. 单击确定
  6. 单击完成

RAM登录控制台

完成创建用户和用户授权之后,用户就有权限访问日志服务控制台了。您可以通过以下两种方式以RAM用户身份登录控制台。

  • 在访问控制服务控制台概览页面,单击用户登录地址链接,使用已创建的RAM用户用户名和密码登录。
    RAM用户登录
  • 直接访问RAM用户通用登录页面,使用已创建的RAM用户用户名和密码登录。
    • 方式一:<$username>@<$AccountAlias>.onaliyun.com 。例如:username@company-alias.onaliyun.com
      说明 ,RAM 用户登录账号为 UPN(User Principal Name)格式,即 RAM 控制台用户列表中所见的用户登录名称此时。<$username>为 RAM 用户名称,<$AccountAlias>.onaliyun.com 为默认域名。
    • 方式二:<$username>@<$AccountAlias>。例如:username@company-alias
      说明 <$username>为 RAM 用户名称,<$AccountAlias> 为账号别名。