为RAM用户授权
您可以授予RAM用户访问和管理操作审计的权限,包括查询事件、管理跟踪、管理事件告警等。
前提条件
操作步骤
登录RAM控制台。
在左侧导航栏,选择。
在用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,选择授权范围为整个云账号,然后选择权限策略。
系统策略:从权限策略名称列表,选择需要的权限。
权限策略名称
说明
AliyunActionTrailReadOnlyAccess
查看操作审计
AliyunActionTrailFullAccess
管理操作审计
AliyunOSSReadOnlyAccess
查看对象存储
AliyunLogReadOnlyAccess
查询日志服务
自定义策略:从权限策略名称列表,选择需要的权限。
关于如何创建自定义策略,请参见创建自定义权限策略。
示例一:授予RAM用户操作审计的所有权限,以及获取OSS Bucket列表和SLS Project列表的权限,以便管理跟踪。
示例代码:
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:*", "oss:GetService", "log:ListProject" ], "Resource": "*", "Effect": "Allow" } ] }权限说明:
Action
说明
oss:GetService
获取OSS Bucket列表的权限
log:ListProject
获取SLS Project列表的权限
actiontrail:*
操作审计所有操作的权限
示例二:授予RAM用户管理跟踪和在日志服务SLS中管理Logstore、索引、看板、图表、日志项目的相关权限,以便管理事件告警。
示例代码:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "actiontrail:DescribeTrails", "actiontrail:SetDefaultTrail", "actiontrail:GetDefaultTrail", "actiontrail:CreateTrail" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project名称/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": "acs:log:*:*:project/Project名称/dashboard/*" }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project名称/job/*" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] } ] }权限说明:
Action
说明
actiontrail:DescribeTrails
查询跟踪
actiontrail:SetDefaultTrail
设置事件告警的默认跟踪
actiontrail:GetDefaultTrail
获取事件告警的默认跟踪
actiontrail:CreateTrail
创建跟踪
log:CreateLogstore
创建Logstore
log:CreateIndex
创建索引
log:UpdateIndex
更新索引
log:CreateDashboard
创建看板
log:CreateChart
创建图表
log:UpdateDashboard
更新看板
log:CreateProject
创建日志项目
单击确定。
单击完成。
