授予RAM用户数据加工操作权限

本文介绍如何授予RAM用户数据加工操作权限。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

背景信息

使用阿里云账号授予RAM用户数据加工操作权限。

  • 创建、删除、修改数据加工任务。

  • 读取源Logstore数据进行加工任务预览。

重要

本文对RAM用户授权仅用于实现通过RAM用户登录日志服务控制台进行数据加工操作。该授权与加工任务运行时访问Logstore数据的授权不同。如果当前RAM用户的访问密钥既要用于操作数据加工任务,又要用于数据加工任务运行时访问Logstore数据,则需要将本文中的权限策略内容与通过访问密钥访问数据中的权限策略内容相结合。

您可以通过如下两种方式授予RAM用户操作日志服务数据加工的权限。

  • 极简授权:权限较大,操作简单。

  • 自定义权限策略:权限精细,配置复杂。

极简授权

使用阿里云账号登录RAM控制台,为RAM用户授予全部管理权限(AliyunLogFullAccess、AliyunRAMFullAccess)。具体操作,请参见为RAM用户授权

自定义权限策略

  1. 使用阿里云账号登录RAM控制台

  2. 创建权限策略。

    1. 在左侧导航栏中,选择权限管理 > 权限策略

    2. 单击创建权限策略

    3. 创建权限策略页面的脚本编辑页签中,将配置框中的原有脚本替换为如下内容,然后单击继续编辑基本信息

      请将Project名称Logstore名称替换为进行数据加工的日志服务Project名称和Logstore名称。

      说明

      如果您希望在加工过程中使用当前RAM用户的访问密钥来读写Logstore数据,则在添加如下策略内容时,还需添加Logstore数据读写权限的策略内容。具体的策略内容,请参见通过访问密钥访问数据

      {
          "Version":"1",
          "Statement":[
              {
                  "Effect":"Allow",
                  "Action":[
                      "log:CreateLogStore",
                      "log:CreateIndex",
                      "log:UpdateIndex",
                      "log:Get*"
                  ],
                  "Resource":"acs:log:*:*:project/Project名称/logstore/internal-etl-log"
              },
              {
                  "Action":[
                      "log:List*"
                  ],
                  "Resource":"acs:log:*:*:project/Project名称/logstore/*",
                  "Effect":"Allow"
              },
              {
                  "Action":[
                      "log:Get*",
                      "log:List*"
                  ],
                  "Resource":[
                      "acs:log:*:*:project/Project名称/logstore/Logstore名称"
                  ],
                  "Effect":"Allow"
              },
              {
                  "Effect":"Allow",
                  "Action":[
                      "log:GetDashboard",
                      "log:CreateDashboard",
                      "log:UpdateDashboard"
                  ],
                  "Resource":"acs:log:*:*:project/Project名称/dashboard/internal-etl-insight*"
              },
              {
                  "Effect":"Allow",
                  "Action":"log:CreateDashboard",
                  "Resource":"acs:log:*:*:project/Project名称/dashboard/*"
              },
              {
                  "Effect":"Allow",
                  "Action":[
                      "log:*"
                  ],
                  "Resource":"acs:log:*:*:project/Project名称/job/*"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "ram:PassRole",
                      "ram:GetRole",
                      "ram:ListRoles"
                  ],
                  "Resource": "*"
               }
          ]
      }
    4. 设置名称,然后单击确定

      例如设置策略名称为log-sls-etl-policy

  3. 为RAM用户授权。

    1. 在左侧导航栏中,选择身份管理 > 用户

    2. 找到目标RAM用户,单击添加权限

    3. 新增授权面板的权限策略区域,在下拉列表选择自定义策略,然后选中您在步骤2中创建的权限策略,然后单击确认新增授权