RAM用户(子账号)使用传统型负载均衡CLB访问日志功能前,需要阿里云账号(主账号)对其进行授权。

前提条件

阿里云账号(主账号)已开通日志访问功能。
  1. 以阿里云账号(主账号)登录RAM访问控制台
  2. 单击RAM角色管理,查看阿里云账号(主账号)是否具有CLB日志访问角色AliyunLogArchiveRole

    如果没有该角色权限,请以阿里云账号(主账号)登录负载均衡控制台,选择传统型负载均衡CLB(原SLB) > 日志管理 > 访问日志 ,单击立即授权,然后在弹出的对话框,单击同意授权,授权CLB访问日志服务。

    说明 该操作只有首次配置时需要。

操作步骤

  1. 创建授权策略:
    1. 使用阿里云账号(主账号)登录RAM访问控制台
    2. 在左侧导航栏,选择授权管理 > 权限策略管理,然后单击创建权限策略
    3. 输入策略名称,如SlbAccessLogPolicySet
    4. 选择配置模式%脚本配置;,输入以下策略内容。
      {
"Statement": [
 {
   "Action": [
     "slb:Create*",
     "slb:List*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*"
 },
 {
   "Action": [
     "log:Create*",
     "log:List*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*"
 },
 {
   "Action": [
     "log:Create*",
     "log:List*",
     "log:Get*",
     "log:Update*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*/logstore/*"
 },
 {
   "Action": [
     "log:Create*",
     "log:List*",
     "log:Get*",
     "log:Update*"
   ],
   "Effect": "Allow",
   "Resource": "acs:log:*:*:project/*/dashboard/*"
 },
 {
   "Action": "cms:QueryMetric*",
   "Resource": "*",
   "Effect": "Allow"
 },
 {
   "Action": [
     "slb:Describe*",
     "slb:DeleteAccessLogsDownloadAttribute",
     "slb:SetAccessLogsDownloadAttribute",
     "slb:DescribeAccessLogsDownloadAttribute"
   ],
   "Resource": "*",
   "Effect": "Allow"
 },
 {
   "Action": [
     "ram:Get*",
     "ram:ListRoles"
   ],
   "Effect": "Allow",
   "Resource": "*"
 }
],
"Version": "1"
}
    5. 单击确定
  2. 给RAM用户(子账号)授权:
    1. 在RAM访问控制台左侧导航栏,选择授权管理 > 授权,然后单击新增授权
      新增授权
    2. 选择授权范围被授权主体
      授权
    3. 权限策略名称列表中选择相应的权限策略。
    4. 单击确定
    5. 返回授权页面,确认该用户已具有新建的权限策略,则可以使用CLB日志访问功能。