文档

为RAM用户授权

更新时间:

为RAM用户授予RAM的系统策略或自定义策略后,RAM用户就能通过对应的权限访问阿里云资源。您可以授予RAM用户访问和管理操作审计的权限,包括查询事件、管理跟踪、管理事件告警等。本文为您介绍如何为RAM用户授予管理操作审计的相关权限。

前提条件

  • 请确保您已创建RAM用户。具体操作,请参见创建RAM用户

  • 请确保您已创建操作审计服务关联角色(AliyunServiceRoleForActionTrail)。具体操作,请参见创建服务关联角色

操作步骤

  1. 登录RAM控制台

  2. 在左侧导航栏,选择身份管理 > 用户

  3. 用户页面,单击目标RAM用户操作列的添加权限

  4. 添加权限面板,为RAM用户添加权限。选择授权范围整个云账号,然后选择权限策略。

    1. 选择资源范围。

    2. 选择授权主体。

      授权主体即需要添加权限的RAM用户。系统会自动选择当前的RAM用户。

    3. 选择权限策略。

      权限策略是一组访问权限的集合,分为以下两种。支持批量选中多条权限策略。

      • 系统策略:从策略名称列表,选择需要的权限。

        权限策略名称

        说明

        AliyunActionTrailReadOnlyAccess

        查看操作审计

        AliyunActionTrailFullAccess

        管理操作审计

        AliyunOSSReadOnlyAccess

        查看对象存储

        AliyunLogReadOnlyAccess

        查询日志服务

      • 自定义策略:从策略名称列表,选择需要的权限。

        关于如何创建自定义策略,请参见创建自定义权限策略

        • 示例一:授予RAM用户操作审计的所有权限,以及获取OSS Bucket列表和SLS Project列表的权限,以便管理跟踪。

          示例代码:

          {
              "Version": "1",
              "Statement": [
                  {
                      "Action": [
                          "actiontrail:*",
                          "oss:GetService",
                          "log:ListProject"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  }
              ]
          }
                                  

          权限说明:

          Action

          说明

          oss:GetService

          获取OSS Bucket列表的权限

          log:ListProject

          获取SLS Project列表的权限

          actiontrail:*

          操作审计所有操作的权限

        • 示例二:授予RAM用户管理跟踪和在日志服务SLS中管理Logstore、索引、看板、图表、日志项目的相关权限,以便管理事件告警。

          示例代码:

          { 
              "Version": "1", 
              "Statement": [
                {
               "Effect": "Allow",
               "Action": [
                 "actiontrail:DescribeTrails",
                 "actiontrail:SetDefaultTrail",
                 "actiontrail:GetDefaultTrail",
                 "actiontrail:CreateTrail"
               ],
               "Resource": "*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateLogStore",
                 "log:CreateIndex",
                 "log:UpdateIndex"
               ],
               "Resource": [
                 "acs:log:*:*:project/Project名称/logstore/internal-alert-history",
                 "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
               ]   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateDashboard",
                 "log:CreateChart",
                 "log:UpdateDashboard"
               ],
               "Resource": "acs:log:*:*:project/Project名称/dashboard/*"
             },
             {
               "Effect": "Allow",
               "Action": [
                 "log:*"
               ],
               "Resource": "acs:log:*:*:project/Project名称/job/*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateProject"
               ],
               "Resource": [
                 "acs:log:*:*:project/sls-alert-*"
               ]
             }
           ]
          }

          权限说明:

          Action

          说明

          actiontrail:DescribeTrails

          查询跟踪

          actiontrail:SetDefaultTrail

          设置事件告警的默认跟踪

          actiontrail:GetDefaultTrail

          获取事件告警的默认跟踪

          actiontrail:CreateTrail

          创建跟踪

          log:CreateLogstore

          创建Logstore

          log:CreateIndex

          创建索引

          log:UpdateIndex

          更新索引

          log:CreateDashboard

          创建看板

          log:CreateChart

          创建图表

          log:UpdateDashboard

          更新看板

          log:CreateProject

          创建日志项目

    4. 单击确认新增授权

  5. 单击关闭

相关文档