子账号开通或使用PolarDB-X 1.0 SQL审计功能之前,需要由主账号为其授权。
背景信息
使用日志服务的实时日志分析功能, 需要如下权限:
操作类型 |
支持的操作账号类型 |
开通日志服务(全局一次性操作) |
主账号 |
授权PolarDB-X 1.0写入数据到您的日志服务 (全局一次性操作)
|
- 主账号
- 具备
AliyunLogFullAccess 权限的子账号
- 具备指定权限的子账号
|
使用日志分析功能 |
- 主账号
- 具备
AliyunLogFullAccess 权限的子账号
- 具备指定权限的子账号
|
您也可以根据需求为子账号授权:
- 为子账号授予日志服务的全部操作权限:授予全部管理权限
AliyunLogFullAccess
。详情请参见创建RAM用户及授权。
- 主账号开启PolarDB-X 1.0 SQL审计分析后,为子账号授予日志查看的权限:授予只读权限
AliyunLogReadOnlyAccess
。详情请参见创建RAM用户及授权。
- 仅为子账号授予开通及使用PolarDB-X 1.0 SQL审计与分析的权限,不授予其他日志服务管理权限:创建自定义授权策略,并为子账号授予该自定义授权策略。
操作步骤
- 登录RAM 控制台。
- 选择。
- 在页面右侧单击创建权限策略。
- 单击脚本编辑。 请替换参数后,输入以下策略内容。您也可以添加其他自定义授权内容。
说明 请将 ${Project}
与${Logstore}
替换为您的日志服务Project和Logstore名称。
{
"Version": "1",
"Statement": [
{
"Action": "log:GetProject",
"Resource": "acs:log:*:*:project/${Project}",
"Effect": "Allow"
},
{
"Action": "log:CreateProject",
"Resource": "acs:log:*:*:project/*",
"Effect": "Allow"
},
{
"Action": "log:ListLogStores",
"Resource": "acs:log:*:*:project/${Project}/logstore/*",
"Effect": "Allow"
},
{
"Action": "log:CreateLogStore",
"Resource": "acs:log:*:*:project/${Project}/logstore/*",
"Effect": "Allow"
},
{
"Action": "log:GetIndex",
"Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
"Effect": "Allow"
},
{
"Action": "log:CreateIndex",
"Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
"Effect": "Allow"
},
{
"Action": "log:UpdateIndex",
"Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
"Effect": "Allow"
},
{
"Action": "log:CreateDashboard",
"Resource": "acs:log:*:*:project/${Project}/dashboard/*",
"Effect": "Allow"
},
{
"Action": "log:UpdateDashboard",
"Resource": "acs:log:*:*:project/${Project}/dashboard/*",
"Effect": "Allow"
},
{
"Action": "log:CreateSavedSearch",
"Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
"Effect": "Allow"
},
{
"Action": "log:UpdateSavedSearch",
"Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
"Effect": "Allow"
}
]
}
- 单击确定。
- 在左侧导航栏中单击。
- 找到子账号并单击对应的添加权限。
- 添加上文中创建的自定义授权策略,并单击确定。