当您使用RAM用户或跨阿里云账号投递日志服务数据到OSS时,需先完成RAM授权。本文介绍不同场景下的RAM授权步骤。
概述
不同场景下,配置投递任务所需完成的RAM授权。
- 如果您需要对OSS Bucket进行更细粒度的访问控制,请参见修改授权策略。
- 如果日志服务Project和OSS Bucket不在同一个阿里云账号,跨阿里云账号投递的具体操作,请参见跨阿里云账号投递。
- 如果您要通过RAM用户将日志服务中的日志投递到OSS Bucket,请参见通过RAM用户投递(同账号)。
- 如果您要通过RAM用户将日志服务中的日志投递到其他阿里云账号下的OSS Bucket,请参见通过RAM用户投递(跨账号)。
修改授权策略
通过云资源访问授权后,AliyunLogDefaultRole角色被授予AliyunLogRolePolicy权限,日志服务具有所有OSS Bucket的写入权限。如果您需要更精细的访问控制粒度,请解除AliyunLogDefaultRole角色的AliyunLogRolePolicy权限,为AliyunLogDefaultRole角色授予自定义权限策略。具体操作,请参见RAM Policy概述。
跨阿里云账号投递
如果您的日志服务Project和OSS Bucket不在同一个阿里云账号时需完成RAM授权才能进行投递操作,例如将阿里云账号A下的日志服务中的日志投递至阿里云账号B下的OSS Bucket中,您可以按照以下步骤进行授权。
说明 创建OSS投递任务时,只能指定一个OSS Bucket。故投递任务支持将阿里云账号A的日志投递到阿里云账号B,不支持将阿里云账号A的日志同时投递到阿里云账号B和C。如果您需要同时投递到两个阿里云账号的OSS
Bucket,可以创建两个投递任务。
通过RAM用户投递(跨账号)
如果阿里云账号A下的RAM用户A1创建投递任务,要将阿里云账号A下的日志服务中的数据投递至阿里云账号B下的OSS Bucket中,需要由阿里云账号A为RAM用户A1授予PassRole权限。
通过RAM用户投递(同账号)
如果您要使用RAM用户创建投递任务,需由阿里云账号为RAM用户授予相关权限。