创建可信实体为阿里云服务的RAM角色及授权

可信实体为阿里云服务的RAM角色主要用于解决跨云服务授权访问的问题，本文介绍如何创建可信实体为阿里云服务的RAM角色及授权。

步骤一：创建RAM角色

创建信任主体名称为日志服务的RAM云服务角色。

使用RAM管理员登录RAM控制台。
在左侧导航栏，选择身份管理 > 角色。
在角色页面，单击创建角色。
在创建角色页面，选择信任主体类型为云服务，然后选择具体的阿里云服务，最后单击确定。
说明
信任主体名称中可以选择的阿里云服务请以控制台界面显示为准。

说明

成功创建RAM角色后，该RAM角色没有任何权限，您需要为该RAM角色授权。访问控制提供如下两种日志服务的系统策略，建议您遵循最小化原则，按需授予RAM角色必要的权限。

当系统策略无法满足您的需求，您可以通过创建自定义策略实现精细化权限管理。具体操作，请参见创建自定义权限策略。权限策略示例请参见RAM自定义授权示例和日志服务RAM授权策略。

本文描述日志服务支持的所有系统权限策略及其对应的权限描述，供您授权 RAM 身份时参考。什么是系统权限策略权限策略是用语法结构描述的一组权限的集合，可以精确地描述被授权的资源集、操作集以及授权条件。阿里云访问控制（RAM）产品提供了两种类型的权限策略：系统策略和自定义策略。系统策略统一由阿里云创

如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控，是提升资源访问安全的有效手段。本文介绍日志服务使用自定义权限策略的场景和策略示例。什么是自定义权限策略在基于RAM的访问控制体系中，自定义权限策略是指在系统权限策略之外，您可以自