本文介绍如何通过自定义策略为RAM用户授权。
前提条件
在创建自定义授权策略时,您需要了解授权策略语言的基本结构和语法。更多信息,请参见权限策略基本元素。
请确认RAM用户没有添加系统权限策略AliyunTracingAnalysisFull-Access和AliyunTracingAnalysisReadOnlyAccess。
重要可观测链路 OpenTelemetry 版的系统权限策略和自定义RAM授权策略不支持同时使用。
背景信息
可观测链路 OpenTelemetry 版提供粗粒度的系统授权策略,如果这种粗粒度授权策略不能满足您的需要,那么您可以创建自定义授权策略。例如,您想控制RAM用户对某个具体应用的操作权限,您必须使用自定义授权策略才能满足这种细粒度要求。
步骤一:创建自定义权限策略
- 使用阿里云账号登录RAM控制台。
- 在左侧导航栏,选择。
- 在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。在策略文档中编写您的授权策略内容。
授权策略内容中各元素说明,请参见权限策略元素说明。
示例:杭州地域所有应用的只读权限。
{ "Version": "1", "Statement": [ { "Action": "xtrace:ReadXtraceApp", "Resource": "acs:xtrace:cn-hangzhou:*:xtrace/*", "Effect": "Allow" }, { "Action": "xtrace:Describe*", "Resource": "*", "Effect": "Allow" } ] }示例:杭州地域以demo开头的应用的只读权限。
{ "Version": "1", "Statement": [ { "Action": "xtrace:ReadXtraceApp", "Resource": "acs:xtrace:cn-hangzhou:*:xtrace/demo*", "Effect": "Allow" }, { "Action": "xtrace:Describe*", "Resource": "*", "Effect": "Allow" } ] }
编写完成后,单击继续编辑基本信息。
- 输入权限策略名称和备注。
- 单击确定。
步骤二:为RAM用户添加权限策略
权限策略元素说明
效果(Effect)
授权效果包括两种:允许(Allow)和拒绝(Deny)。
操作(Action)
Action | 权限说明 |
xtrace:Describe | 可观测链路 OpenTelemetry 版只读权限,粗粒度的读权限,获取该权限后才能进入可观测链路 OpenTelemetry 版控制台。 |
xtrace:ReadXtraceApp | 可观测链路 OpenTelemetry 版只读权限,用于查看应用列表、应用详情、接口调用等信息,可以控制应用以及地域粒度的RAM权限。 |
xtrace:SaveXtraceAppConfig | 可观测链路 OpenTelemetry 版应用配置的保存权限。 |
xtrace:DeleteXtraceApp | 可观测链路 OpenTelemetry 版应用删除的权限。 |
资源(Resource)
用于指定被授权的具体对象。
格式如下:
"Resource": [
"acs:xtrace:<regionid>:*:xtrace/<appname>"
]请将
<regionid>替换为指定地域ID。如果当前授权针对所有地域,可替换为*。请将
<appname>替换指定应用名称。如果当前授权针对所有应用,可替换为*;如果当前授权针对的应用名称拥有相同前缀,可替换为名称前缀*,例如k8s*。