为RAM用户授予RAM的系统策略或自定义策略后,RAM用户就能通过对应的权限访问阿里云资源。您可以授予RAM用户访问和管理操作审计的权限,包括查询事件、管理跟踪、管理事件告警等。本文为您介绍如何为RAM用户授予管理操作审计的相关权限。
前提条件
操作步骤
登录RAM控制台。
在左侧导航栏,选择 。
在用户页面,单击目标RAM用户操作列的添加权限。
在添加权限面板,选择授权范围为整个云账号,然后选择权限策略。
系统策略:从权限策略名称列表,选择需要的权限。
权限策略名称
说明
AliyunActionTrailReadOnlyAccess
查看操作审计
AliyunActionTrailFullAccess
管理操作审计
AliyunOSSReadOnlyAccess
查看对象存储
AliyunLogReadOnlyAccess
查询日志服务
自定义策略:从权限策略名称列表,选择需要的权限。
关于如何创建自定义策略,请参见创建自定义权限策略。
示例一:授予RAM用户操作审计的所有权限,以及获取OSS Bucket列表和SLS Project列表的权限,以便管理跟踪。
示例代码:
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:*", "oss:GetService", "log:ListProject" ], "Resource": "*", "Effect": "Allow" } ] }
权限说明:
Action
说明
oss:GetService
获取OSS Bucket列表的权限
log:ListProject
获取SLS Project列表的权限
actiontrail:*
操作审计所有操作的权限
示例二:授予RAM用户管理跟踪和在日志服务SLS中管理Logstore、索引、看板、图表、日志项目的相关权限,以便管理事件告警。
示例代码:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "actiontrail:DescribeTrails", "actiontrail:SetDefaultTrail", "actiontrail:GetDefaultTrail", "actiontrail:CreateTrail" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project名称/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": "acs:log:*:*:project/Project名称/dashboard/*" }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project名称/job/*" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] } ] }
权限说明:
Action
说明
actiontrail:DescribeTrails
查询跟踪
actiontrail:SetDefaultTrail
设置事件告警的默认跟踪
actiontrail:GetDefaultTrail
获取事件告警的默认跟踪
actiontrail:CreateTrail
创建跟踪
log:CreateLogstore
创建Logstore
log:CreateIndex
创建索引
log:UpdateIndex
更新索引
log:CreateDashboard
创建看板
log:CreateChart
创建图表
log:UpdateDashboard
更新看板
log:CreateProject
创建日志项目
单击确定。
单击完成。
相关文档
关于为RAM用户授权的更多方式,请参见为RAM用户授权。
您还可以使用API添加RAM用户的相关权限,具体操作,请参见AttachPolicyToUser - 为指定用户添加权限。
- 本页导读 (1)