您可以授予RAM用户访问和管理操作审计的权限,包括查询事件、管理跟踪、管理事件告警等。
前提条件
操作步骤
- 登录RAM控制台。
- 在左侧导航栏,选择。
- 在用户页面,单击目标RAM用户操作列的添加权限。
- 在添加权限面板,选择授权应用范围为整个云账号,然后选择权限策略。
- 系统策略:从权限策略名称列表,选择需要的权限。
权限策略名称 说明 AliyunActionTrailReadOnlyAccess 查看操作审计 AliyunActionTrailFullAccess 管理操作审计 AliyunOSSReadOnlyAccess 查看对象存储 AliyunLogReadOnlyAccess 查询日志服务 - 自定义策略:从权限策略名称列表,选择需要的权限。
关于如何创建自定义策略,请参见创建自定义策略。
- 示例一:授予RAM用户操作审计的所有权限,以及获取OSS Bucket列表和SLS Project列表的权限,以便管理跟踪。
示例代码:
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:*", "oss:GetService", "log:ListProject" ], "Resource": "*", "Effect": "Allow" } ] }权限说明:
Action 说明 oss:GetService 获取OSS Bucket列表的权限 log:ListProject 获取SLS Project列表的权限 actiontrail:* 操作审计所有操作的权限 - 示例二:授予RAM用户管理跟踪和在日志服务SLS中管理Logstore、索引、看板、图表、日志项目的相关权限,以便管理事件告警。
示例代码:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "actiontrail:DescribeTrails", "actiontrail:SetDefaultTrail", "actiontrail:GetDefaultTrail", "actiontrail:CreateTrail" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project名称/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": "acs:log:*:*:project/Project名称/dashboard/*" }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project名称/job/*" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] } ] }权限说明:
Action 说明 actiontrail:DescribeTrails 查询跟踪 actiontrail:SetDefaultTrail 设置事件告警的默认跟踪 actiontrail:GetDefaultTrail 获取事件告警的默认跟踪 actiontrail:CreateTrail 创建跟踪 log:CreateLogstore 创建Logstore log:CreateIndex 创建索引 log:UpdateIndex 更新索引 log:CreateDashboard 创建看板 log:CreateChart 创建图表 log:UpdateDashboard 更新看板 log:CreateProject 创建日志项目
- 示例一:授予RAM用户操作审计的所有权限,以及获取OSS Bucket列表和SLS Project列表的权限,以便管理跟踪。
- 系统策略:从权限策略名称列表,选择需要的权限。
- 单击确定。
- 单击完成。