Otorisasi RAM User dengan Akses Full atau Read-Only ActionTrail-ActionTrail-Alibaba Cloud

Setelah melampirkan kebijakan sistem atau kebijakan kustom ke pengguna Resource Access Management (RAM), pengguna RAM dapat menggunakan izin yang didefinisikan dalam kebijakan tersebut untuk mengakses sumber daya Alibaba Cloud. Anda dapat memberikan izin kepada pengguna RAM untuk mengakses dan mengelola ActionTrail. Sebagai contoh, pengguna RAM dapat menanyakan peristiwa serta mengelola jejak dan peringatan. Topik ini menjelaskan cara memberikan izin kepada pengguna RAM untuk mengelola ActionTrail.

Prasyarat

Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat pengguna RAM.
Peran terhubung layanan AliyunServiceRoleForActionTrail telah dibuat. Untuk informasi lebih lanjut, lihat Kelola peran terhubung layanan.

Prosedur

Masuk ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Identities > Users.
Di halaman Users, temukan pengguna RAM yang diperlukan, lalu klik Add Permissions di kolom Actions.

Di panel Grant Permission, konfigurasikan parameter Resource Scope dan pilih kebijakan.

Konfigurasikan parameter Cakupan Sumber Daya.
- Account: Otorisasi berlaku untuk akun Alibaba Cloud saat ini.
- Resource Group: Otorisasi berlaku untuk grup sumber daya tertentu.
  Penting
  Jika Anda memilih Grup Sumber Daya untuk parameter Cakupan Sumber Daya, pastikan bahwa layanan cloud yang diperlukan dan jenis sumber daya mendukung grup sumber daya. Untuk informasi lebih lanjut, lihat Layanan yang bekerja dengan Grup Sumber Daya. Untuk informasi lebih lanjut tentang cara memberikan izin pada grup sumber daya, lihat Manajemen identitas dan izin berbasis CloudSSO dalam skenario multi-akun.
Konfigurasikan parameter Principal.
Principal adalah pengguna RAM yang ingin Anda berikan izin. Pengguna RAM saat ini dipilih secara otomatis.

Konfigurasikan parameter Kebijakan.

Kebijakan berisi satu set izin. Kebijakan dapat diklasifikasikan menjadi kebijakan sistem dan kebijakan kustom. Anda dapat memilih beberapa kebijakan sekaligus.

Kebijakan sistem: Pilih kebijakan sistem.

Nama Kebijakan	Deskripsi
AliyunActionTrailReadOnlyAccess	Memberikan izin baca-saja pada sumber daya ActionTrail.
AliyunActionTrailFullAccess	Memberikan izin manajemen pada sumber daya ActionTrail.
AliyunOSSReadOnlyAccess	Memberikan izin baca-saja pada sumber daya Object Storage Service (OSS).
AliyunLogReadOnlyAccess	Memberikan izin baca-saja pada sumber daya Simple Log Service.

Kebijakan kustom: Klik All Types dan pilih Custom Policy.

Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom, lihat Buat kebijakan kustom.

Contoh 1: Berikan pengguna RAM izin penuh pada ActionTrail dan izin untuk menanyakan bucket OSS dan proyek Simple Log Service. Dengan cara ini, pengguna RAM dapat mengelola jejak.

Contoh kode:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "actiontrail:*",
                "oss:GetService",
                "log:ListProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

Deskripsi izin:

Action	Deskripsi
oss:GetService	Mengizinkan pengguna RAM untuk menanyakan bucket OSS.
log:ListProject	Mengizinkan pengguna RAM untuk menanyakan proyek Simple Log Service.
actiontrail:*	Menyediakan izin penuh pada ActionTrail.

Contoh 2: Berikan pengguna RAM izin untuk mengelola jejak di ActionTrail dan izin untuk mengelola penyimpanan log, indeks, dasbor, grafik, dan proyek di Simple Log Service. Dengan cara ini, pengguna RAM dapat mengelola peringatan.

Contoh kode:

{ 
    "Version": "1", 
    "Statement": [
      {
     "Effect": "Allow",
     "Action": [
       "actiontrail:DescribeTrails",
       "actiontrail:SetDefaultTrail",
       "actiontrail:GetDefaultTrail",
       "actiontrail:CreateTrail"
     ],
     "Resource": "*"   
     },
   {
     "Effect": "Allow",
     "Action": [
       "log:CreateLogStore",
       "log:CreateIndex",
       "log:UpdateIndex"
     ],
     "Resource": [
       "acs:log:*:*:project/Project name/logstore/internal-alert-history",
       "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
     ]   
     },
   {
     "Effect": "Allow",
     "Action": [
       "log:CreateDashboard",
       "log:CreateChart",
       "log:UpdateDashboard"
     ],
     "Resource": "acs:log:*:*:project/Project name/dashboard/*"
   },
   {
     "Effect": "Allow",
     "Action": [
       "log:*"
     ],
     "Resource": "acs:log:*:*:project/Project name/job/*"   
     },
   {
     "Effect": "Allow",
     "Action": [
       "log:CreateProject"
     ],
     "Resource": [
       "acs:log:*:*:project/sls-alert-*"
     ]
   }
 ]
}

Deskripsi izin:

Action	Deskripsi
actiontrail:DescribeTrails	Mengizinkan pengguna RAM untuk menanyakan jejak.
actiontrail:SetDefaultTrail	Mengizinkan pengguna RAM untuk menentukan jejak default untuk peringatan.
actiontrail:GetDefaultTrail	Mengizinkan pengguna RAM untuk menanyakan jejak default untuk peringatan.
actiontrail:CreateTrail	Mengizinkan pengguna RAM untuk membuat jejak.
log:CreateLogstore	Mengizinkan pengguna RAM untuk membuat penyimpanan log.
log:CreateIndex	Mengizinkan pengguna RAM untuk membuat indeks.
log:UpdateIndex	Mengizinkan pengguna RAM untuk memperbarui indeks.
log:CreateDashboard	Mengizinkan pengguna RAM untuk membuat dasbor.
log:CreateChart	Mengizinkan pengguna RAM untuk membuat grafik.
log:UpdateDashboard	Mengizinkan pengguna RAM untuk memperbarui dasbor.
log:CreateProject	Mengizinkan pengguna RAM untuk membuat proyek Simple Log Service.

Klik Grant permissions.

Klik Close.

Referensi

Untuk informasi lebih lanjut tentang cara memberikan izin kepada pengguna RAM, lihat Memberikan izin kepada pengguna RAM.
Anda juga dapat memanggil operasi untuk memberikan izin kepada pengguna RAM. Untuk informasi lebih lanjut, lihat AttachPolicyToUser.