本文介紹如何授予RAM使用者操作CloudLens for RDS的許可權。
前提條件
已建立RAM使用者。具體操作,請參見建立RAM使用者。
背景資訊
您可以通過如下兩種方式給RAM使用者授予CloudLens for RDS的操作許可權。
系統權限原則:許可權範圍較大,使用者無法修改系統權限原則的內容,但配置步驟簡單。
自訂權限原則:許可權範圍更精細,使用者可以修改自訂權限原則的內容,配置步驟比系統權限原則更複雜。
系統權限原則
自訂權限原則
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立自訂權限原則。
您可以授予RAM使用者使用CloudLens for RDS的唯讀許可權或讀寫權限。
唯讀許可權
只允許查看CloudLens for RDS中的各個頁面。
在建立權限原則頁面,單擊指令碼編輯頁簽,並使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
{ "Statement": [ { "Action": [ "rds:DescribeSqlLogInstances" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": "log:GetProductDataCollection", "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:rds:*:*:dbinstance/*" ], "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }讀寫權限
允許操作CloudLens for RDS中的各個功能。
在建立權限原則頁面,單擊指令碼編輯頁簽,並使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
{ "Statement": [ { "Action": [ "rds:DescribeSqlLogInstances", "rds:DisableSqlLogDistribution", "rds:EnableSqlLogDistribution", "rds:ModifySQLCollectorPolicy" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "log:GetLogStore", "log:CreateProject", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:ListLogStores", "log:GetLogStore", "log:GetLogStoreLogs", "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard", "log:UpdateLogStore", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/" ], "Effect": "Allow" }, { "Action": [ "log:GetProductDataCollection", "log:OpenProductDataCollection", "log:CloseProductDataCollection" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:rds:*:*:dbinstance/*" ], "Effect": "Allow" }, { "Action": [ "log:SetGeneralDataAccessConfig" ], "Resource": [ "acs:log:*:*:resource/sls.general_data_access.rds.global_conf.*/record" ], "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com", "ram:ServiceName": "rds.aliyuncs.com" } } }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }為RAM使用者添加建立的自訂權限原則。具體操作,請參見為RAM使用者授權。