可信實體為阿里雲服務的RAM角色主要用於解決跨雲端服務授權訪問的問題,本文介紹如何建立可信實體為阿里雲服務的RAM角色及授權。
步驟一:建立RAM角色
建立信任主體名稱為Log Service的RAM雲端服務角色。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在角色頁面,單擊建立角色。
在建立角色頁面,選擇信任主體類型為雲端服務,然後選擇具體的阿里雲服務,最後單擊確定。
說明信任主體名稱中可以選擇的阿里雲服務請以控制台介面顯示為準。
步驟二:為RAM角色授權
說明
成功建立RAM角色後,該RAM角色沒有任何許可權,您需要為該RAM角色授權。存取控制提供如下兩種Log Service的系統策略,建議您遵循最小化原則,按需授予RAM角色必要的許可權。
AliyunLogFullAccess:管理Log Service的許可權。
AliyunLogReadOnlyAccess:唯讀訪問Log Service的許可權。
當系統策略無法滿足您的需求,您可以通過建立自訂策略實現精微調權限管理。具體操作,請參見建立自訂權限原則。權限原則樣本請參見RAM自訂授權樣本和Log ServiceRAM授權策略。
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在角色頁面,單擊目標RAM角色操作列的新增授權。
您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色大量授權。
在新增授權面板,選中目標許可權(如:AliyunLogReadOnlyAccess),單擊確認新增授權。
單擊關閉。