设置资源组以限制RAM用户查看指定Project

背景信息

在SLS控制台中，Project列表是通过调用OpenAPI ListProject接口展示的。如果用户拥有ListProject权限，默认会显示账户内所有Project。如果您希望仅授权特定的Project给RAM用户，并且未授权的Project不在列表中显示，可以通过资源组授权实现。

目前RAM权限策略模型分为账户内授权和资源组授权。

• 账户内授权：通过为RAM用户分配特定策略，使其对符合条件的资源拥有相应权限。然而，这种授权方式无法满足用户限制RAM用户在SLS控制台中仅查看特定Project的需求。具体操作，请参见日志服务自定义权限策略参考。

• 资源组授权：阿里云账户默认包含一个资源组，用户也可创建自定义资源组。通过将支持资源组的资源（如SLS的Project）移动到特定资源组，并在为RAM用户添加权限时选择资源组作为授权范围，可以限制这些用户仅能查看和操作该资源组内的资源，从而实现对SLS控制台中特定Project的访问限制。

步骤一：创建资源组

您可以使用阿里云账号（主账号）或拥有创建资源组的RAM身份（RAM用户和RAM角色）创建资源组。

具体操作请参见创建资源组。

步骤二：添加目标Project到资源组

您可以添加或者修改目标Project所属的资源组。

具体操作请参见选择资源组。

步骤三：创建查看Project列表的权限策略

1. 使用阿里云账号（主账号）或RAM管理员登录RAM控制台。

2. 创建一个自定义权限策略，其中在脚本编辑页签，请使用以下脚本替换配置框中的原有内容。具体操作，请参见通过脚本编辑模式创建自定义权限策略。

   {
     "Version": "1",
     "Statement": [
       {
         "Effect": "Allow",
         "Action": "log:ListProject",
         "Resource": "acs:log:*:*:project/*"
       }
     ]
   }

步骤四：给RAM用户授权

具体操作请参见为RAM用户授权。

步骤五：查看指定Project

1. 使用RAM用户登录日志服务控制台。

2. 页面上方选择步骤四授予该RAM用户的资源组，查看该资源组下的Project。