本文介绍如何通过设置资源组限制RAM用户查看指定的Project。
背景信息
在SLS控制台中,Project列表是通过调用OpenAPI ListProject接口展示的。如果用户拥有ListProject权限,默认会显示账户内所有Project。如果您希望仅授权特定的Project给RAM用户,并且未授权的Project不在列表中显示,可以通过资源组授权实现。
目前RAM权限策略模型分为账户内授权和资源组授权。
账户内授权:通过为RAM用户分配特定策略,使其对符合条件的资源拥有相应权限。然而,这种授权方式无法满足用户限制RAM用户在SLS控制台中仅查看特定Project的需求。具体操作,请参见日志服务自定义权限策略参考。
资源组授权:阿里云账户默认包含一个资源组,用户也可创建自定义资源组。通过将支持资源组的资源(如SLS的Project)移动到特定资源组,并在为RAM用户添加权限时选择资源组作为授权范围,可以限制这些用户仅能查看和操作该资源组内的资源,从而实现对SLS控制台中特定Project的访问限制。
前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
步骤一:创建资源组
您可以使用阿里云账号(主账号)或拥有创建资源组的RAM身份(RAM用户和RAM角色)创建资源组。
具体操作请参见创建资源组。
步骤二:添加目标Project到资源组
您可以添加或者修改目标Project所属的资源组。
具体操作请参见选择资源组。
步骤三:创建查看Project列表的权限策略
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
创建一个自定义权限策略,其中在脚本编辑页签,请使用以下脚本替换配置框中的原有内容。具体操作,请参见通过脚本编辑模式创建自定义权限策略。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": "log:*", "Resource": "acs:log:*:*:project/*" } ] }
步骤四:给RAM用户授权
具体操作请参见为RAM用户授权。
在新增授权面板中,资源范围选择资源组级别,选择步骤一创建的资源组。
权限策略选择步骤三创建的自定义权限策略。
步骤五:查看指定Project
使用RAM用户登录日志服务控制台。
页面上方选择步骤四授予该RAM用户的资源组,查看该资源组下的Project。
