为RAM用户授权

操作步骤

1. 登录RAM控制台。

2. 在左侧导航栏，选择身份管理 > 用户。

3. 在用户页面，单击目标RAM用户操作列的添加权限。

4. 在新增授权面板，选择资源范围，然后选择权限策略。

   1. 选择资源范围。

      • 账号级别：权限在当前阿里云账号内生效。

      • 资源组级别：权限在指定的资源组内生效。

        重要

        指定资源组授权生效的前提是该云服务及资源类型已支持资源组，详情请参见支持资源组的云服务。资源组授权示例，请参见使用云SSO实现多账号场景下的身份权限管理。

   2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

   3. 选择权限策略。

      权限策略是一组访问权限的集合，分为以下两种。支持批量选中多条权限策略。

      • 系统策略：从策略名称列表，选择需要的权限。

        权限策略名称	说明
        AliyunActionTrailReadOnlyAccess	只读访问操作审计的权限
        AliyunActionTrailFullAccess	管理操作审计的权限
        AliyunOSSReadOnlyAccess	只读访问对象存储服务权限
        AliyunLogReadOnlyAccess	只读访问日志服务的权限

      • 自定义策略：单击所有策略类型，选择自定义策略。

        关于如何创建自定义策略，请参见创建自定义权限策略。

        • 示例一：授予RAM用户操作审计的所有权限，以及获取OSS Bucket列表和SLS Project列表的权限，以便管理跟踪。

          示例代码：

          {
              "Version": "1",
              "Statement": [
                  {
                      "Action": [
                          "actiontrail:*",
                          "oss:GetService",
                          "log:ListProject"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  }
              ]
          }
                                  

          权限说明：

          Action	说明
          oss:GetService	获取OSS Bucket列表的权限
          log:ListProject	获取SLS Project列表的权限
          actiontrail:*	操作审计所有操作的权限

        • 示例二：授予RAM用户管理跟踪和在日志服务SLS中管理Logstore、索引、看板、图表、日志项目的相关权限，以便管理事件告警。

          示例代码：

          { 
              "Version": "1", 
              "Statement": [
                {
               "Effect": "Allow",
               "Action": [
                 "actiontrail:DescribeTrails",
                 "actiontrail:SetDefaultTrail",
                 "actiontrail:GetDefaultTrail",
                 "actiontrail:CreateTrail"
               ],
               "Resource": "*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateLogStore",
                 "log:CreateIndex",
                 "log:UpdateIndex"
               ],
               "Resource": [
                 "acs:log:*:*:project/Project名称/logstore/internal-alert-history",
                 "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
               ]   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateDashboard",
                 "log:CreateChart",
                 "log:UpdateDashboard"
               ],
               "Resource": "acs:log:*:*:project/Project名称/dashboard/*"
             },
             {
               "Effect": "Allow",
               "Action": [
                 "log:*"
               ],
               "Resource": "acs:log:*:*:project/Project名称/job/*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateProject"
               ],
               "Resource": [
                 "acs:log:*:*:project/sls-alert-*"
               ]
             }
           ]
          }

          权限说明：

          Action	说明
          actiontrail:DescribeTrails	查询跟踪
          actiontrail:SetDefaultTrail	设置事件告警的默认跟踪
          actiontrail:GetDefaultTrail	获取事件告警的默认跟踪
          actiontrail:CreateTrail	创建跟踪
          log:CreateLogstore	创建Logstore
          log:CreateIndex	创建索引
          log:UpdateIndex	更新索引
          log:CreateDashboard	创建看板
          log:CreateChart	创建图表
          log:UpdateDashboard	更新看板
          log:CreateProject	创建日志项目

   4. 单击确认新增授权。

5. 单击关闭。