本文介绍如何创建可信实体为阿里云服务的RAM角色及授权。该RAM角色主要用于解决跨云服务授权访问的问题。

步骤一:创建RAM角色

  1. 登录RAM控制台
  2. 在左侧导航栏中,选择身份管理 > 角色
  3. 角色页面,单击创建角色
  4. 选择类型配置向导中,选择可信实体类型为阿里云服务,然后单击下一步
  5. 配置角色配置向导中,配置如下内容,然后单击完成
    参数 说明
    角色类型 选择普通角色类型
    角色名称 输入角色名称,例如aliyunlogreadrole。
    备注 输入创建角色的备注信息。
    选择受信服务 选择日志服务
  6. 创建完成配置向导中,单击关闭

步骤二:为RAM角色授权

创建RAM角色后,日志服务将使用该RAM角色进行相关操作,但该RAM角色无任何权限。您需要为该RAM角色授予系统策略或自定义策略。其中,访问控制提供如下两种日志服务的系统策略。
  • AliyunLogFullAccess:管理日志服务的权限。
  • AliyunLogReadOnlyAccess:只读访问日志服务的权限。

当系统策略无法满足您的需求,您可以通过创建自定义策略实现精细化权限管理。具体操作,请参见创建自定义授权策略。权限策略示例请参见RAM自定义授权场景日志服务RAM授权策略

本文以为RAM角色授予AliyunLogReadOnlyAccess权限为例。

  1. 登录RAM控制台
  2. 在左侧导航栏,选择身份管理 > 角色
  3. 找到目标RAM角色,单击添加权限
  4. 添加权限页面,选中目标权限(例如AliyunLogReadOnlyAccess权限),然后单击确定
  5. 确认授权结果,单击完成