如果您需要将日志服务的操作权限授予一个受信实体用户,允许该实体用户下的RAM角色操作日志服务,您需要创建RAM用户角色并指定受信云账号、为RAM用户角色授权、为受信账号下的RAM用户授予AssumeRole权限、获取RAM用户角色的临时安全令牌。
背景信息
角色和用户都是RAM中使用的身份。与RAM用户相比,RAM用户角色是一种虚拟用户,它没有确定的身份认证密钥,且需要被一个受信的实体用户(例如云账号、云服务账号)扮演才能正常使用。扮演成功后实体用户将获得RAM用户角色的临时安全令牌,使用这个临时安全令牌就能以RAM用户角色身份访问被授权的资源。
步骤1:创建用户角色并指定受信云账号
步骤2:为RAM用户角色授权
成功创建用户角色后,该用户角色没有任何权限,您需要为RAM用户角色授予操作日志服务的权限。您上一步中指定的受信云账号将有权限扮演该RAM用户角色操作日志服务。
您可以赋予RAM用户角色一个或多个授权策略,包括系统授权策略和自定义授权策略。下文步骤以授予RAM用户角色管理日志服务的权限为例。
- 在左侧导航栏,单击RAM角色管理。
- 找到目标RAM角色,单击添加权限。
- 在添加权限页面,选中系统策略下的AliyunLogFullAccess,单击确定。
- 确认授权结果,单击完成。
步骤3:为受信云账号的RAM用户授权
RAM用户角色需要被一个受信的实体用户扮演才能正常使用,但是受信实体用户不能以自己的身份扮演RAM用户角色,必须以RAM用户的身份扮演。即RAM用户角色只能通过RAM用户身份来扮演使用。
另外,受信云账号必须为其名下的RAM用户进行AssumeRole授权,授予该RAM用户调用STS服务AssumeRole接口的权限,此RAM用户才能代表受信云账号扮演步骤1:创建用户角色并指定受信云账号中创建的RAM用户角色。
- 在左侧导航栏,单击 。
- 找到目标用户,单击添加权限。
- 在添加权限页面,选中系统策略下的AliyunSTSAssumeRoleAccess,单击确定。
- 确认授权结果,单击完成。
步骤4:获取RAM用户角色的临时安全令牌
当RAM用户被授予AssumeRole权限之后,通过调用STS AssumeRole接口获取步骤1:创建用户角色并指定受信云账号中创建的RAM用户角色的临时安全令牌。