子账号开通或使用PolarDB-X 1.0 SQL审计功能之前,需要由主账号为其授权。

背景信息

使用日志服务的实时日志分析功能, 需要如下权限:

操作类型 支持的操作账号类型
开通日志服务(全局一次性操作) 主账号
授权PolarDB-X 1.0写入数据到您的日志服务 (全局一次性操作)
  • 主账号
  • 具备AliyunLogFullAccess权限的子账号
  • 具备指定权限的子账号
使用日志分析功能
  • 主账号
  • 具备AliyunLogFullAccess权限的子账号
  • 具备指定权限的子账号

您也可以根据需求为子账号授权:

  • 为子账号授予日志服务的全部操作权限:授予全部管理权限AliyunLogFullAccess。详情请参见创建RAM用户及授权
  • 主账号开启PolarDB-X 1.0 SQL审计分析后,为子账号授予日志查看的权限:授予只读权限AliyunLogReadOnlyAccess。详情请参见创建RAM用户及授权
  • 仅为子账号授予开通及使用PolarDB-X 1.0 SQL审计与分析的权限,不授予其他日志服务管理权限:创建自定义授权策略,并为子账号授予该自定义授权策略。

操作步骤

  1. 登录RAM 控制台
  2. 选择权限管理 > 权限策略
  3. 在页面右侧单击创建权限策略
  4. 单击脚本编辑。 请替换参数后,输入以下策略内容。您也可以添加其他自定义授权内容。
    说明 请将 ${Project}${Logstore}替换为您的日志服务Project和Logstore名称。
     {
       "Version": "1",
       "Statement": [
           {
           "Action": "log:GetProject",
           "Resource": "acs:log:*:*:project/${Project}",
           "Effect": "Allow"
         },
         {
           "Action": "log:CreateProject",
           "Resource": "acs:log:*:*:project/*",
           "Effect": "Allow"
         },
         { 
          "Action": "log:ListLogStores",
           "Resource": "acs:log:*:*:project/${Project}/logstore/*",
           "Effect": "Allow"
        },
         {
           "Action": "log:CreateLogStore",
           "Resource": "acs:log:*:*:project/${Project}/logstore/*",
           "Effect": "Allow"
         },
         {
           "Action": "log:GetIndex",
           "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
           "Effect": "Allow"
         },
         {
           "Action": "log:CreateIndex",
           "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
           "Effect": "Allow"
         },
         {
           "Action": "log:UpdateIndex",
           "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
           "Effect": "Allow"
         },
         {
           "Action": "log:CreateDashboard",
           "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
           "Effect": "Allow"
         },
         {
           "Action": "log:UpdateDashboard",
           "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
           "Effect": "Allow"
         },
         {
           "Action": "log:CreateSavedSearch",
           "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
           "Effect": "Allow"
         },
         {
           "Action": "log:UpdateSavedSearch",
           "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
           "Effect": "Allow"
         }
       ]
     }
  5. 单击确定
  6. 在左侧导航栏中单击身份管理 > 用户
  7. 找到子账号并单击对应的添加权限
  8. 添加上文中创建的自定义授权策略,并单击确定