概览

本文介绍借助RAM实现RAM用户对主账号日志服务资源的访问。

背景信息

您创建的Project、Logstore、采集配置、机器组,都是您自己拥有的资源。默认情况下,您对自己的资源拥有完整的操作权限,可以使用本文档中列举的所有API对资源进行操作。

但在RAM用户场景下,刚创建的RAM用户无权限操作主账号资源,需要通过RAM授权方式,授予RAM用户操作主账号资源的权限。

说明 在了解如何使用RAM来授权和访问日志服务资源之前,请确保您已详细阅读了创建可信实体为阿里云账号的RAM角色及授权RAM简介

如果您不需要跨账户进行日志服务资源的授权和访问,您可以跳过此章节。跳过这些部分并不影响您对文档中其余部分的理解和使用。

授权策略

RAM和日志服务相关的授权策略:
  • AliyunLogFullAccess
    给RAM用户授予该权限后,RAM用户将对主账号拥有的日志服务资源具备访问权限。授权策略描述如下:
      {
        "Version": "1",
        "Statement": [
          {
            "Action": "log:*",
            "Resource": "*",
            "Effect": "Allow"
          }
        ]
      }
  • AliyunLogReadOnlyAccess
    给RAM用户授予该权限后,RAM用户将对主账号拥有的日志服务资源具备只读权限。授权策略描述如下:
     {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "log:Get*",
              "log:List*"
            ],
            "Resource": "*",
            "Effect": "Allow"
          }
        ]
      }
  • 向指定日志库(Logstore)上传数据

    给RAM用户授予该权限后,RAM用户可以通过API、SDK直接向指定日志库上传数据,授权策略描述如下:

      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "log:Post*",
              "log:BatchPost*"
            ],
            "Resource": ["acs:log:*:*:project/<指定的project名称>/logstore/<指定的logstore名称>"],
            "Effect": "Allow"
          }
        ]
      }
  • 控制台查询指定日志库(Logstore)数据
    给RAM用户授予该权限后,RAM用户在控制台上拥有指定日志库资源的只读访问权限(查询日志、拖取日志、查看日志库列表)。授权策略描述如下:
      {
        "Version": "1",
        "Statement": [
          {
            "Action": ["log:List*"],
            "Resource": ["acs:log:*:*:project/<指定的project名称>/*"],
            "Effect": "Allow"
          },
          {
            "Action": ["log:Get*"],
            "Resource": ["acs:log:*:*:project/<指定的project名称>/logstore/<指定的logstore名称>"],
            "Effect": "Allow"
          }
        ]
      }

更多信息