本文介绍如何授予RAM用户数据加工操作权限。
前提条件
已创建RAM用户。具体操作,请参见创建RAM用户。
背景信息
使用阿里云账号授予RAM用户数据加工操作权限。
创建、删除、修改数据加工任务。
读取源Logstore数据进行加工任务预览。
本文对RAM用户授权仅用于实现通过RAM用户登录日志服务控制台进行数据加工操作。该授权与加工任务运行时访问Logstore数据的授权不同。如果当前RAM用户的访问密钥既要用于操作数据加工任务,又要用于数据加工任务运行时访问Logstore数据,则需要将本文中的权限策略内容与通过访问密钥访问数据中的权限策略内容相结合。
您可以通过如下两种方式授予RAM用户操作日志服务数据加工的权限。
系统权限策略:权限范围较大,用户无法修改系统权限策略的内容,但配置步骤简单。
自定义权限策略:权限范围更精细,用户可以修改自定义权限策略的内容,配置步骤比系统权限策略更复杂。
系统权限策略
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
为RAM用户授予日志服务的只读权限
AliyunLogReadOnlyAccess或管理权限AliyunLogFullAccess。具体操作,请参见为RAM用户授权。
自定义权限策略
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
创建一个自定义权限策略,其中在脚本编辑页签,请使用以下脚本替换配置框中的原有内容。具体操作,请参见通过脚本编辑模式创建自定义权限策略。
重要脚本中的
Project名称和Logstore名称请根据实际情况替换。如果您希望在加工过程中使用当前RAM用户的访问密钥来读写Logstore数据,则在添加如下策略内容时,还需添加Logstore数据读写权限的策略内容。具体的策略内容,请参见通过访问密钥访问数据。
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project名称/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project名称/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project名称/logstore/Logstore名称" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project名称/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project名称/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project名称/job/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }为RAM用户添加创建的自定义权限策略。具体操作,请参见为RAM用户授权。