Topik ini menjelaskan cara memberikan izin kepada pengguna Resource Access Management (RAM) untuk mengelola peringatan. Setelah memberikan izin kepada pengguna RAM tersebut, Anda dapat membuat aturan peringatan untuk memantau data di seluruh proyek, wilayah, atau akun Alibaba Cloud.
Prasyarat
Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Berikan izin baca-saja kepada pengguna RAM pada peringatan
Metode 1: Lampirkan kebijakan sistem ke pengguna RAM
Lampirkan kebijakan AliyunLogReadOnlyAccess ke pengguna RAM. Kebijakan ini memberikan izin baca-saja pada peringatan. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Metode 2: Buat kebijakan kustom dan lampirkan kebijakan kustom ke pengguna RAM
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda atau pengguna RAM yang memiliki hak administratif.
Buat kebijakan kustom. Pada tab JSON halaman Buat Kebijakan, ganti skrip yang ada di editor kode dengan dokumen kebijakan berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.
PentingNama Proyek menentukan proyek yang ingin Anda berikan izin baca-saja pada peringatannya. Ganti variabel ini dengan nama proyek sebenarnya.
sls-alert-* menentukan semua proyek tempat pusat peringatan global berada dalam akun Alibaba Cloud Anda. Proyek-proyek ini menyimpan data peringatan dalam akun Alibaba Cloud Anda. Data tersebut mencakup data evaluasi untuk setiap aturan peringatan, log yang disimpan, dan laporan global terkait peringatan. Jika Anda tidak perlu melihat laporan global, Anda dapat menghapus
acs:log:*:*:project/sls-alert-*/*dari daftar sumber daya.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetLogStore" ], "Resource": [ "acs:log:*:*:project/Project name/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:GetJob", "log:ListJobs" ], "Resource": "acs:log:*:*:project/Project name/job/*" }, { "Effect": "Allow", "Action": [ "log:GetProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs", "log:ListLogStores", "log:GetIndex", "log:GetDashboard", "log:ListDashboard" ], "Resource": [ "acs:log:*:*:project/Project name/*", "acs:log:*:*:project/sls-alert-*/*" ] }, { "Effect": "Allow", "Action": [ "log:GetResource", "log:ListResources", "log:GetResourceRecord", "log:ListResourceRecords" ], "Resource": [ "acs:log:*:*:resource/*" ] } ] }Lampirkan kebijakan kustom yang telah dibuat ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Berikan izin kepada pengguna RAM untuk mengelola peringatan
Metode 1: Lampirkan kebijakan sistem ke pengguna RAM
Lampirkan kebijakan AliyunLogFullAccess ke pengguna RAM. Kebijakan ini memberikan izin pengelolaan pada Layanan Log Sederhana. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Metode 2: Buat kebijakan kustom dan lampirkan kebijakan kustom ke pengguna RAM
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda atau pengguna RAM yang memiliki hak administratif.
Buat kebijakan kustom. Pada tab JSON halaman Buat Kebijakan, ganti skrip yang ada di editor kode dengan dokumen kebijakan berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.
PentingNama Proyek menentukan proyek yang ingin Anda berikan izin pengelolaan pada peringatannya. Ganti variabel ini dengan nama proyek sebenarnya.
sls-alert-* menentukan semua proyek tempat pusat peringatan global berada dalam akun Alibaba Cloud Anda. Proyek-proyek ini menyimpan data peringatan dalam akun Alibaba Cloud Anda. Data tersebut mencakup data evaluasi untuk setiap aturan peringatan, log yang disimpan, dan laporan global terkait peringatan. Jika Anda ingin memberikan izin kepada pengguna RAM untuk mengelola hanya satu proyek tempat pusat peringatan global berada, Anda harus menetapkan sls-alert-* ke nama proyek dalam format
sls-alert-${uid}-${region}. Contoh:sls-alert-148****6461-cn-hangzhou.Jika Anda ingin menggunakan pengguna RAM untuk mengelola Logstores terkait sistem peringatan, seperti Logstores yang menyimpan riwayat peringatan dan Logstores tempat pusat peringatan global berada, Anda harus memberikan izin kepada pengguna RAM untuk membuat Logstores, membuat indeks, dan memperbarui indeks. Kemudian, Anda dapat menggunakan pengguna RAM untuk melihat laporan terkait peringatan seperti Riwayat Peringatan.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetLogStore", "log:UpdateLogStore", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project name/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project name/job/*" }, { "Effect": "Allow", "Action": [ "log:GetProject", "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs", "log:ListLogStores", "log:GetIndex", "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard", "log:ListDashboard" ], "Resource": [ "acs:log:*:*:project/Project name/*", "acs:log:*:*:project/sls-alert-*/*" ] }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": [ "acs:log:*:*:resource/*" ] } ] }Lampirkan kebijakan kustom yang telah dibuat ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.