如果您需要将日志服务的操作权限授予一个受信实体用户,允许该实体用户下的RAM角色操作日志服务,您需要创建RAM用户角色并指定受信云账号、为RAM用户角色授权、为受信账号下的RAM用户授予AssumeRole权限、获取RAM用户角色的临时安全令牌。

背景信息

角色用户一样,都是RAM中使用的身份。与RAM用户相比,RAM用户角色是一种虚拟用户,它没有确定的身份认证密钥,且需要被一个受信的实体用户(例如云账号、RAM-User账号、云服务账号)扮演才能正常使用。扮演成功后实体用户将获得RAM用户角色的临时安全令牌,使用这个临时安全令牌就能以RAM用户角色身份访问被授权的资源。

步骤1:创建用户角色并指定受信云账号

  1. 登录RAM控制台
  2. 在左侧导航栏,单击RAM角色管理
  3. RAM角色管理页面,单击创建RAM角色
  4. 选择可信实体类型为阿里云账号,单击下一步
  5. 请参考下表说明进行角色配置。
    配置项 说明
    角色名称 请输入角色名称。
    备注 请输入备注信息。
    选择云账号 可以选择当前云账号其他云账号
    • 若创建的角色是给您自己名下的RAM用户使用(例如授权移动App客户端直接操作日志服务的资源),请选择当前云账号为受信云账号。
    • 若创建的角色是给其他云账号名下的RAM用户使用(例如跨账号的资源授权),请选择其他云账号,并在受信云账号ID中填写其他云账号ID。
  6. 单击完成

步骤2:为RAM用户角色授权

成功创建用户角色后,该用户角色没有任何权限,您需要为RAM用户角色授予操作日志服务的权限。您上一步中指定的受信云账号将有权限扮演该RAM用户角色操作日志服务。

您可以赋予RAM用户角色一个或多个授权策略,包括系统授权策略和自定义授权策略。下文步骤以授予RAM用户角色管理日志服务的权限为例。

  1. 在左侧导航栏,单击RAM角色管理
  2. 找到目标RAM角色,单击添加权限
  3. 添加权限页面,选中系统策略下的AliyunLogFullAccess,单击确定
  4. 确认授权结果,单击完成

步骤3:为受信云账号的RAM用户授权

RAM用户角色需要被一个受信的实体用户扮演才能正常使用,但是受信实体用户不能以自己的身份扮演RAM用户角色,必须以RAM用户的身份扮演。即RAM用户角色只能通过RAM用户身份来扮演使用。

另外,受信云账号必须为其名下的RAM用户进行AssumeRole授权,授予该RAM用户调用STS服务AssumeRole接口的权限,此RAM用户才能代表受信云账号扮演步骤1:创建用户角色并指定受信云账号中创建的RAM用户角色。

  1. 在左侧导航栏,单击人员管理 > 用户
  2. 找到目标用户,单击添加权限
  3. 添加权限页面,选中系统策略下的AliyunSTSAssumeRoleAccess,单击确定
  4. 确认授权结果,单击完成

步骤4:获取RAM用户角色的临时安全令牌

当RAM用户被授予AssumeRole权限之后,通过调用STS AssumeRole接口获取步骤1:创建用户角色并指定受信云账号中创建的RAM用户角色的临时安全令牌。

说明
  • 关于AssumeRole API的调用方法,请参见Java SDK 示例
  • 使用STS SDK拿到AccessKeyId、AccessKeySecret、SecurityToken之后,通过使用日志服务的SDK访问日志服务,请参见概述