如何授权RAM用户使用CLB的访问日志功能_负载均衡(SLB)-阿里云帮助中心

RAM用户（子账号）使用传统型负载均衡CLB访问日志功能前，需要阿里云账号（主账号）对其进行授权。

前提条件

阿里云账号（主账号）已开通日志访问功能。具体操作，请参见开通访问日志功能。

创建授权策略

本文为您介绍通过脚本编辑模式创建自定义权限策略。如需通过可视化编辑模式创建自定义权限策略，请参见通过可视化编辑模式创建自定义权限策略。

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择权限管理 > 权限策略。
在权限策略页面，单击创建权限策略。
在创建权限策略页面，单击脚本编辑页签。

输入权限策略内容，然后单击继续编辑基本信息。

{
  "Statement": [
   {
     "Action": [
       "slb:Create*",
       "slb:List*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*"
   },
   {
     "Action": [
       "log:Create*",
       "log:List*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*"
   },
   {
     "Action": [
       "log:Create*",
       "log:List*",
       "log:Get*",
       "log:Update*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*/logstore/*"
   },
   {
     "Action": [
       "log:Create*",
       "log:List*",
       "log:Get*",
       "log:Update*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*/dashboard/*"
   },
   {
     "Action": "cms:QueryMetric*",
     "Resource": "*",
     "Effect": "Allow"
   },
   {
     "Action": [
       "slb:Describe*",
       "slb:DeleteAccessLogsDownloadAttribute",
       "slb:SetAccessLogsDownloadAttribute",
       "slb:DescribeAccessLogsDownloadAttribute"
     ],
     "Resource": "*",
     "Effect": "Allow"
   },
   {
     "Action": [
       "ram:Get*",
       "ram:ListRoles"
     ],
     "Effect": "Allow",
     "Resource": "*"
   }
  ],
  "Version": "1"
}

输入权限策略名称和备注。
检查并优化权限策略内容。
- 基础权限策略优化
  系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务：
  - 删除不必要的条件。
  - 删除不必要的数组。
- 可选：高级权限策略优化
  您可以将鼠标悬浮在可选：高级策略优化上，单击执行，对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务：
  - 拆分不兼容操作的资源或条件。
  - 收缩资源到更小范围。
  - 去重或合并语句。
单击确定。

给RAM用户（子账号）授权

使用阿里云账号登录RAM控制台。
在左侧导航栏，选择权限管理 > 授权。
在授权页面，单击新增授权。
在新增授权页面，为RAM角色添加权限。
1. 选择授权范围。
  - 整个云账号：权限在当前阿里云账号内生效。
  - 指定资源组：权限在指定的资源组内生效。
    说明指定资源组授权生效的前提是该云服务已支持资源组。更多信息，请参见支持资源组的云服务。
2. 输入授权主体。
  授权主体即需要授权的RAM角色。
3. 选择权限策略。
  说明每次最多绑定5条策略，如需绑定更多策略，请分次操作。
单击确定。
单击完成。
返回授权页面，确认该用户已具有新建的权限策略，则可以使用CLB日志访问功能。