日志服务提供权限助手功能,简化日志服务相关的RAM权限策略配置。本文介绍如何在日志服务控制台上配置权限助手。
操作步骤
登录日志服务控制台。
在Project列表区域,单击目标Project。
在左侧导航栏中,选择。
在权限助手页面,完成如下配置,并单击下一步。
模式包括普通项目和APP,具体配置如下表所示。
普通项目
普通项目模式包括日志服务的所有功能模块权限的配置。
参数
说明
预设角色选择
不同的角色已配置不同的功能模块,您可以根据需求选择已预设的角色,也可以自定义选择功能模块。
功能模块的权限包括管理权限和只读权限,请根据需求选择。
重要功能模块之间存在依赖关系如下所示:
必须配置项目的只读或管理权限,否则无法操作其他功能。
数据接入模块依赖于Logstore模块,所以勾选数据接入中的任意一项都会默认勾选Logstore模块。
可视化模块依赖于数据查询模块。
告警、订阅和数据接入(云产品接入)等模块依赖于数据可视化模块。其中,使用告警和订阅模块时,系统默认配置数据可视化模块的管理权限。
资源
配置功能模块的权限后,您可以配置权限能使用的资源。项目名称和Logstore名称支持用
*号表示,例如:拥有如下权限的用户或角色能操作日志服务的所有资源。
"Action": "log:*", "Resource": "*",拥有如下权限的用户或角色只能操作project01项目下的资源。
acs:log:*:*:project/project01acs:log:*:*:project/project01/*
拥有如下权限的用户或角色只能操作project01项目下logstore01日志库下的资源。
acs:log:*:*:project/project01/logstore/logstore01acs:log:*:*:project/project01/logstore/logstore01/*
限制条件
根据需求配置限制条件。更多信息,请参见权限策略基本元素。
APP
APP模式包括成本管家、日志审计服务和K8s事件中心的权限配置。
配置项
说明
APP列表
请根据需求选择您要配置的APP及其权限,权限包括允许和禁止。
预设角色选择
当APP的权限选择允许时,会自动选中相关的功能模块,您也可以自定义选择。
功能模块的权限包括管理权限和只读权限,请根据需求选择。
重要功能模块之间存在依赖关系如下所示:
必须配置项目的只读或管理权限,否则无法操作其他功能。
数据接入模块依赖于Logstore模块,所以勾选数据接入中的任意一项都会默认勾选Logstore模块。
可视化模块依赖于数据查询模块。
告警、订阅和数据接入(云产品接入)等模块依赖于数据可视化模块。其中,使用告警和订阅模块时,系统默认配置数据可视化模块的管理权限。
资源
系统根据已选择的APP指定资源,无法修改。
限制条件
根据需求配置限制条件。更多信息,请参见权限策略基本元素。
预览权限策略确认规则信息,同时您还可以编辑已生成的权限策略,具体操作如下表所示。 完成后单击下一步。
操作
说明
格式化
对手动编辑过的JSON代码进行格式化。
压缩
由于应用策略配置时有长度限制,压缩功能可以去掉多余的空格和换行。
重置
还原手动编辑的内容。
复制到剪贴板
将当前编辑器中的内容复制到剪贴板,方便后续使用。
添加到自定义模板
将当前的权限策略添加到自定义策略模板中,方便后续使用。
说明该模板只存放在浏览器的本地存储中,更换浏览器后无法查看。
创建自定义权限策略。
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。将配置框中的原有脚本替换为您在步骤5中获取的权限策略,然后单击确定。
在创建权限策略对话框,输入权限策略名称和备注,然后单击确定。
为授权主体(RAM用户、RAM角色等)添加步骤6中创建的权限策略。具体操作,请参见为RAM用户授权、为RAM角色授权。
授权完成后,您就可以使用该授权主体(RAM用户、RAM角色等)。
相关操作
应用常见策略模板
在权限助手页签,已设置常用策略模板,您可以根据需求选用模板。
应用自定义策略模板
在权限助手页签,还可以将自定义的权限策略添加到自定义策略模板中,方便后续使用。
说明自定义策略模板保存在浏览器的本地存储中,更换浏览器后无法查看。