Topik ini menjelaskan cara memberikan izin operasi pada CloudLens for RDS kepada pengguna Resource Access Management (RAM).
Prasyarat
Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.
Informasi latar belakang
Anda dapat memberikan izin operasi pada CloudLens for RDS kepada pengguna RAM dengan salah satu metode berikut:
Tambahkan kebijakan sistem: Anda dapat memberikan semua izin pada Layanan Log Sederhana kepada pengguna RAM. Kebijakan sistem tidak dapat dimodifikasi dan tidak memerlukan konfigurasi parameter.
Tambahkan kebijakan kustom: Anda dapat membuat kebijakan kustom dan melampirkannya ke pengguna RAM. Metode ini memungkinkan kontrol akses yang lebih rinci, tetapi memerlukan konfigurasi yang lebih kompleks.
Kebijakan sistem
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif. Lampirkan kebijakan AliyunLogFullAccess kepada pengguna RAM. Dengan cara ini, pengguna RAM memiliki semua izin pada Simple Log Service. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
Kebijakan kustom
Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM yang memiliki hak administratif.
Buat kebijakan.
Anda dapat memberikan izin baca saja atau izin baca dan tulis pada CloudLens for RDS kepada pengguna RAM.
Izin baca saja
Pengguna RAM hanya dapat melihat halaman-halaman CloudLens for RDS.
Di halaman Create Policy, klik tab JSON. Ganti isi yang ada di editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom di Tab JSON.
{ "Statement": [ { "Action": [ "rds:DescribeSqlLogInstances" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": "log:GetProductDataCollection", "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:rds:*:*:dbinstance/*" ], "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }Izin baca dan tulis
Pengguna RAM dapat melakukan semua operasi yang didukung oleh CloudLens for RDS.
Di halaman Create Policy, klik tab JSON. Ganti isi yang ada di editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom di Tab JSON.
{ "Statement": [ { "Action": [ "rds:DescribeSqlLogInstances", "rds:DisableSqlLogDistribution", "rds:EnableSqlLogDistribution", "rds:ModifySQLCollectorPolicy" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "log:GetLogStore", "log:CreateProject", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:ListLogStores", "log:GetLogStore", "log:GetLogStoreLogs", "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard", "log:UpdateLogStore", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/" ], "Effect": "Allow" }, { "Action": [ "log:GetProductDataCollection", "log:OpenProductDataCollection", "log:CloseProductDataCollection" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:rds:*:*:dbinstance/*" ], "Effect": "Allow" }, { "Action": [ "log:SetGeneralDataAccessConfig" ], "Resource": [ "acs:log:*:*:resource/sls.general_data_access.rds.global_conf.*/record" ], "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com", "ram:ServiceName": "rds.aliyuncs.com" } } }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }Tambahkan kebijakan kustom yang telah dibuat ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.