为子账号授予DRDS SQL审计权限
子账号开通或使用 DRDS SQL 审计功能之前,需要由主账号为其授权。
背景信息
使用日志服务实时日志分析, 需要如下权限:
操作类型 | 支持的操作账号类型 |
开通日志服务(全局一次性操作) | 主账号 |
授权 DRDS 写入数据到您的日志服务 (全局一次性操作) |
|
使用日志分析功能 |
|
您也可以根据需求为子账号授权。
- 为子账号授予日志服务的全部操作权限:授予全部管理权限
AliyunLogFullAccess
。详细步骤请参考 RAM 用户。 - 主账号开启 DRDS SQL 审计分析后,为子账号授予日志查看的权限:授予只读权限
AliyunLogReadOnlyAccess
。详细步骤请参考 RAM 用户。 - 仅为子账号授予开通及及使用 DRDS SQL 审计与分析的权限,不授予其他日志服务管理权限:创建自定义授权策略,并为子账号授予该自定义授权策略。详细步骤请参考本文档。
操作步骤
- 登录 RAM 控制台。
- 在策略管理中打开自定义授权策略页签。
- 在页面右上角单击新建授权策略。
单击空白模板,并输入策略名称和策略内容。 请替换参数后,输入以下策略内容。您也可以添加其他自定义授权内容。
说明 请将
${Project}
与${Logstore}
替换为您的日志服务 Project 和 Logstore 名称。{
"Version": "1",
"Statement": [
{
"Action": "log:GetProject",
"Resource": "acs:log:*:*:project/${Project}",
"Effect": "Allow"
},
{
"Action": "log:CreateProject",
"Resource": "acs:log:*:*:project/*",
"Effect": "Allow"
},
{
"Action": "log:ListLogStores",
"Resource": "acs:log:*:*:project/${Project}/logstore/*",
"Effect": "Allow"
},
{
"Action": "log:CreateLogStore",
"Resource": "acs:log:*:*:project/${Project}/logstore/*",
"Effect": "Allow"
},
{
"Action": "log:GetIndex",
"Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
"Effect": "Allow"
},
{
"Action": "log:CreateIndex",
"Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
"Effect": "Allow"
},
{
"Action": "log:UpdateIndex",
"Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
"Effect": "Allow"
},
{
"Action": "log:CreateDashboard",
"Resource": "acs:log:*:*:project/${Project}/dashboard/*",
"Effect": "Allow"
},
{
"Action": "log:UpdateDashboard",
"Resource": "acs:log:*:*:project/${Project}/dashboard/*",
"Effect": "Allow"
},
{
"Action": "log:CreateSavedSearch",
"Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
"Effect": "Allow"
},
{
"Action": "log:UpdateSavedSearch",
"Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
"Effect": "Allow"
}
]
}
单击新建授权策略。
- 在左侧导航栏中单击用户管理。
- 找到子账号并单击对应的授权。
- 添加上文中创建的自定义授权策略,并单击确定。
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。
评论