通过RAM的权限管理功能,您可以创建自定义权限策略并授予RAM用户,RAM用户便可以登录操作审计服务进行相应的操作。

背景信息

  • 使用RAM对操作审计进行权限管理前,请先了解以下系统策略:
    • AliyunActionTrailFullAccess:管理操作审计的权限。
    • AliyunActionTrailReadOnlyAccess:只读访问操作审计的权限。

    当系统策略不能满足您的需求时,您可以创建自定义策略。

  • 使用RAM对操作审计进行授权前,请先了解操作审计的权限定义。更多信息,请参见RAM鉴权

操作步骤

  1. 创建RAM用户。
    具体操作,请参见创建RAM用户
  2. 创建自定义策略。
    更多信息,请参见创建自定义策略权限策略示例
  3. 为RAM用户授权。
    具体操作,请参见为RAM用户授权

权限策略示例

  • 示例1:授予RAM用户只读权限。 
    {
    "Version": "1",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "actiontrail:LookupEvents", 
            "actiontrail:Describe*", 
            "actiontrail:Get*"
        ],
        "Resource": "*"
    }]
}
  • 示例2:仅允许RAM用户从指定的IP地址发起只读操作。 
    {
    "Version": "1",
    "Statement": [{
        "Effect": "Allow",
        "Action": [
            "actiontrail:LookupEvents", 
            "actiontrail:Describe*", 
            "actiontrail:Get*"
        ],
        "Resource": "*",
        "Condition":{
            "IpAddress": {
                "acs:SourceIp": "42.120.XX.X/24"
            }
        }
    }]
}