创建可信实体为阿里云服务的RAM角色及授权
本文介绍如何创建可信实体为阿里云服务的RAM角色及授权。该RAM角色主要用于解决跨云服务授权访问的问题。
步骤一:创建RAM角色
- 登录RAM控制台。
- 在左侧导航栏中,选择。
- 在角色页面,单击创建角色。
- 在选择类型配置向导中,选择可信实体类型为阿里云服务,然后单击下一步。
- 在配置角色配置向导中,配置如下内容,然后单击完成。
参数 说明 角色类型 选择普通角色类型。 角色名称 输入角色名称,例如aliyunlogreadrole。 备注 输入创建角色的备注信息。 选择受信服务 选择日志服务。 - 在创建完成配置向导中,单击关闭。
步骤二:为RAM角色授权
创建RAM角色后,日志服务将使用该RAM角色进行相关操作,但该RAM角色无任何权限。您需要为该RAM角色授予系统策略或自定义策略。其中,访问控制提供如下两种日志服务的系统策略。
- AliyunLogFullAccess:管理日志服务的权限。
- AliyunLogReadOnlyAccess:只读访问日志服务的权限。
当系统策略无法满足您的需求,您可以通过创建自定义策略实现精细化权限管理。具体操作,请参见创建自定义权限策略。权限策略示例请参见RAM自定义授权场景和日志服务RAM授权策略。
本文以为RAM角色授予AliyunLogReadOnlyAccess权限为例。
- 登录RAM控制台。
- 在左侧导航栏,选择。
- 找到目标RAM角色,单击添加权限。
- 在添加权限页面,选中目标权限(例如AliyunLogReadOnlyAccess权限),然后单击确定。
- 确认授权结果,单击完成。
