RAM用户(子账号)使用传统型负载均衡CLB访问日志功能前,需要阿里云账号(主账号)对其进行授权。
前提条件
阿里云账号(主账号)已开通日志访问功能。具体操作,请参见开通访问日志功能。
创建授权策略
本文为您介绍通过脚本编辑模式创建自定义权限策略。如需通过可视化编辑模式创建自定义权限策略,请参见通过可视化编辑模式创建自定义权限策略。
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在权限策略页面,单击创建权限策略。
在创建权限策略页面,单击脚本编辑页签。
输入权限策略内容,然后单击确定。
{ "Statement": [ { "Action": [ "slb:Create*", "slb:List*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*" }, { "Action": [ "log:Create*", "log:List*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*" }, { "Action": [ "log:Create*", "log:List*", "log:Get*", "log:Update*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*/logstore/*" }, { "Action": [ "log:Create*", "log:List*", "log:Get*", "log:Update*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*/dashboard/*" }, { "Action": "cms:QueryMetric*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "slb:Describe*", "slb:DeleteAccessLogsDownloadAttribute", "slb:SetAccessLogsDownloadAttribute", "slb:DescribeAccessLogsDownloadAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ram:Get*", "ram:ListRoles" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }输入权限策略名称和备注。
单击确定。
给RAM用户(子账号)授权
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在授权页面,单击新增授权。
选择资源范围。
账号级别:权限在当前阿里云账号内生效。
资源组级别:权限在指定的资源组内生效。
说明指定资源组授权生效的前提是该云服务及资源类型已支持资源组,详情请参见支持资源组的云服务。
选择授权主体。
授权主体即需要添加权限的RAM角色。支持批量选中多个RAM角色。
选择权限策略。
权限策略是一组访问权限的集合。支持批量选中多条权限策略。
系统策略:由阿里云创建,策略的版本更新由阿里云维护,用户只能使用不能修改。更多信息,请参见支持RAM的云服务。
说明系统会自动标识出高风险系统策略(例如:AdministratorAccess、AliyunRAMFullAccess等),授权时,尽量避免授予不必要的高风险权限策略。
自定义策略:由用户管理,策略的版本更新由用户维护。用户可以自主创建、更新和删除自定义策略。更多信息,请参见创建自定义权限策略。
单击确认新增授权。
单击关闭。返回页面,确认该用户已具有新建的权限策略,则可以使用CLB日志访问功能。