本文介绍借助RAM实现RAM用户对主账号日志服务资源的访问。
背景信息
您创建的Project、Logstore、采集配置、机器组,都是您自己拥有的资源。默认情况下,您对自己的资源拥有完整的操作权限,可以使用本文档中列举的所有API对资源进行操作。
但在RAM用户场景下,刚创建的RAM用户无权限操作主账号资源,需要通过RAM授权方式,授予RAM用户操作主账号资源的权限。
说明 在了解如何使用RAM来授权和访问日志服务资源之前,请确保您已详细阅读了创建可信实体为阿里云账号的RAM角色及授权和RAM简介。
如果您不需要跨账户进行日志服务资源的授权和访问,您可以跳过此章节。跳过这些部分并不影响您对文档中其余部分的理解和使用。
授权策略
RAM和日志服务相关的授权策略:
- AliyunLogFullAccess 给RAM用户授予该权限后,RAM用户将对主账号拥有的日志服务资源具备访问权限。授权策略描述如下:
{ "Version": "1", "Statement": [ { "Action": "log:*", "Resource": "*", "Effect": "Allow" } ] } - AliyunLogReadOnlyAccess 给RAM用户授予该权限后,RAM用户将对主账号拥有的日志服务资源具备只读权限。授权策略描述如下:
{ "Version": "1", "Statement": [ { "Action": [ "log:Get*", "log:List*" ], "Resource": "*", "Effect": "Allow" } ] } - 向指定日志库(Logstore)上传数据
给RAM用户授予该权限后,RAM用户可以通过API、SDK直接向指定日志库上传数据,授权策略描述如下:
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": ["acs:log:*:*:project/<指定的project名称>/logstore/<指定的logstore名称>"], "Effect": "Allow" } ] } - 控制台查询指定日志库(Logstore)数据 给RAM用户授予该权限后,RAM用户在控制台上拥有指定日志库资源的只读访问权限(查询日志、拖取日志、查看日志库列表)。授权策略描述如下:
{ "Version": "1", "Statement": [ { "Action": ["log:List*"], "Resource": ["acs:log:*:*:project/<指定的project名称>/*"], "Effect": "Allow" }, { "Action": ["log:Get*"], "Resource": ["acs:log:*:*:project/<指定的project名称>/logstore/<指定的logstore名称>"], "Effect": "Allow" } ] }
更多信息
- RAM中可授权的Log Service资源类型
- RAM中可对Log Service资源进行授权的Action
- Log Service API发生RAM用户访问主账号资源时的鉴权规则