RAM用户(子账号)使用传统型负载均衡CLB访问日志功能前,需要阿里云账号(主账号)对其进行授权。

前提条件

阿里云账号(主账号)已开通日志访问功能。
  1. 以阿里云账号(主账号)登录RAM访问控制台
  2. 单击RAM角色管理,查看阿里云账号(主账号)是否具有CLB日志访问角色AliyunLogArchiveRole

    如果没有该角色权限,请以阿里云账号(主账号)登录负载均衡控制台,选择传统型负载均衡CLB(原SLB) > 日志管理 > 访问日志 ,单击立即授权,然后在弹出的对话框,单击同意授权,授权CLB访问日志服务。

    说明 该操作只有首次配置时需要。

操作步骤

  1. 创建授权策略:
    1. 使用阿里云账号(主账号)登录RAM访问控制台
    2. 在左侧导航栏,选择授权管理 > 权限策略管理,然后单击创建权限策略
    3. 输入策略名称,如SlbAccessLogPolicySet
    4. 选择配置模式%脚本配置;,输入以下策略内容。
      {
      "Statement": [
       {
         "Action": [
           "slb:Create*",
           "slb:List*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*"
       },
       {
         "Action": [
           "log:Create*",
           "log:List*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*"
       },
       {
         "Action": [
           "log:Create*",
           "log:List*",
           "log:Get*",
           "log:Update*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*/logstore/*"
       },
       {
         "Action": [
           "log:Create*",
           "log:List*",
           "log:Get*",
           "log:Update*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*/dashboard/*"
       },
       {
         "Action": "cms:QueryMetric*",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": [
           "slb:Describe*",
           "slb:DeleteAccessLogsDownloadAttribute",
           "slb:SetAccessLogsDownloadAttribute",
           "slb:DescribeAccessLogsDownloadAttribute"
         ],
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": [
           "ram:Get*",
           "ram:ListRoles"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
      ],
      "Version": "1"
      }
    5. 单击确定
  2. 给RAM用户(子账号)授权:
    1. 在RAM访问控制台左侧导航栏,选择授权管理 > 授权,然后单击新增授权
      新增授权
    2. 选择授权范围被授权主体
      授权
    3. 权限策略名称列表中选择相应的权限策略。
    4. 单击确定
    5. 返回授权页面,确认该用户已具有新建的权限策略,则可以使用CLB日志访问功能。