为子账号授予DRDS SQL审计权限
子账号开通或使用 DRDS SQL 审计功能之前,需要由主账号为其授权。
背景信息
使用日志服务实时日志分析, 需要如下权限:
| 操作类型 | 支持的操作账号类型 |
| 开通日志服务(全局一次性操作) | 主账号 |
| 授权 DRDS 写入数据到您的日志服务 (全局一次性操作) |
|
| 使用日志分析功能 |
|
您也可以根据需求为子账号授权。
- 为子账号授予日志服务的全部操作权限:授予全部管理权限
AliyunLogFullAccess。详细步骤请参考 RAM 用户。 - 主账号开启 DRDS SQL 审计分析后,为子账号授予日志查看的权限:授予只读权限
AliyunLogReadOnlyAccess。详细步骤请参考 RAM 用户。 - 仅为子账号授予开通及及使用 DRDS SQL 审计与分析的权限,不授予其他日志服务管理权限:创建自定义授权策略,并为子账号授予该自定义授权策略。详细步骤请参考本文档。
操作步骤
- 登录 RAM 控制台。
- 在策略管理中打开自定义授权策略页签。
- 在页面右上角单击新建授权策略。
单击空白模板,并输入策略名称和策略内容。 请替换参数后,输入以下策略内容。您也可以添加其他自定义授权内容。
说明 请将
${Project}与${Logstore}替换为您的日志服务 Project 和 Logstore 名称。{"Version": "1","Statement": [{"Action": "log:GetProject","Resource": "acs:log:*:*:project/${Project}","Effect": "Allow"},{"Action": "log:CreateProject","Resource": "acs:log:*:*:project/*","Effect": "Allow"},{"Action": "log:ListLogStores","Resource": "acs:log:*:*:project/${Project}/logstore/*","Effect": "Allow"},{"Action": "log:CreateLogStore","Resource": "acs:log:*:*:project/${Project}/logstore/*","Effect": "Allow"},{"Action": "log:GetIndex","Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}","Effect": "Allow"},{"Action": "log:CreateIndex","Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}","Effect": "Allow"},{"Action": "log:UpdateIndex","Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}","Effect": "Allow"},{"Action": "log:CreateDashboard","Resource": "acs:log:*:*:project/${Project}/dashboard/*","Effect": "Allow"},{"Action": "log:UpdateDashboard","Resource": "acs:log:*:*:project/${Project}/dashboard/*","Effect": "Allow"},{"Action": "log:CreateSavedSearch","Resource": "acs:log:*:*:project/${Project}/savedsearch/*","Effect": "Allow"},{"Action": "log:UpdateSavedSearch","Resource": "acs:log:*:*:project/${Project}/savedsearch/*","Effect": "Allow"}]}
单击新建授权策略。
- 在左侧导航栏中单击用户管理。
- 找到子账号并单击对应的授权。
- 添加上文中创建的自定义授权策略,并单击确定。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论