本文介绍为阿里云RAM用户授予告警操作权限的操作步骤。

前提条件

已创建RAM用户。具体操作,请参见创建RAM用户

背景信息

您可以通过如下两种方式给RAM用户授予告警操作的权限。
  • 极简授权:权限较大,操作简单。
    • 使用阿里云账号登录RAM控制台,为RAM用户授予全部管理权限(AliyunLogFullAccess)。更多信息,请参见创建RAM用户及授权
    • 如果允许RAM用户使用内置角色或者自定义角色查询时序库或日志库,还需要给RAM授权角色对应的ram:PassRole权限,权限策略如下:
      {
           "Action": "ram:PassRole",
           "Effect": "Allow",
           "Resource": "acs:ram::阿里云账号ID:角色ARN"
       }
      创建内置角色或者自定义角色授权,请参见配置访问控制
  • 自定义权限策略:权限精细,配置复杂。

    本文以此方式为例进行授权操作。

操作步骤

  1. 登录RAM 控制台
  2. 创建权限策略。
    1. 在左侧导航栏中,选择权限管理 > 权限策略管理
    2. 单击创建权限策略
    3. 新建自定义权限策略页面中,配置如下参数,并单击确定
      参数 描述
      策略名称 配置策略名称。
      配置模式 选择脚本配置
      策略内容 将配置框中的原有脚本替换为如下内容。
      • Project名称表示用于管理告警数据的Project,请根据实际情况替换。
      • sls-alert-*表示当前阿里云账号下所有的全局告警中心Project。全局告警中心Project中包含该账号下所有告警规则的评估数据和发送的日志,告警相关的全局报表等。

        如果您只想授权RAM用户操作单个全局告警中心Project的权限,您可以将sls-alert-*配置为单个Project的名称,格式为sls-alert-${uid}-${region},例如sls-alert-148****6461-cn-hangzhou。

      {
        "Version": "1",
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "log:CreateLogStore",
              "log:CreateIndex",
              "log:UpdateIndex"
            ],
            "Resource": [
              "acs:log:*:*:project/Project名称/logstore/internal-alert-history",
              "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:CreateDashboard",
              "log:CreateChart",
              "log:UpdateDashboard"
            ],
            "Resource": [
              "acs:log:*:*:project/Project名称/dashboard/*",
              "acs:log:*:*:project/sls-alert-*/dashboard/*"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:*"
            ],
            "Resource": "acs:log:*:*:project/Project名称/job/*"
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:CreateProject"
            ],
            "Resource": [
              "acs:log:*:*:project/sls-alert-*"
            ]
          },
          {
            "Effect": "Allow",
            "Action": [
              "log:GetLogStoreLogs",
              "log:ListLogStores",
              "log:GetIndex"
            ],
            "Resource": [
              "acs:log:*:*:project/Project名称",
              "acs:log:*:*:project/Project名称/*"
            ]
          },
          {
            "Action": "ram:PassRole",
            "Effect": "Allow",
            "Resource": "acs:ram::阿里云账号ID:角色ARN"
          }
        ]
      }
  3. 为RAM用户授权。
    1. 在左侧导航栏中,选择身份管理 > 用户
    2. 找到目标RAM用户,单击添加权限
    3. 单击系统策略,选中AliyunRAMReadOnlyAccess
    4. 单击自定义策略,选中步骤2中创建的策略,单击确定
    5. 单击完成