资源列表

鉴权规则
发布于 2025-04-22
0 次阅读

日志服务支持通过主账号为子账号授予相关资源权限，方便子账号对部分资源进行操作。本文档主要介绍为子账号授权的资源类型。

目前可以授予RAM用户的资源类型及其描述方式如下：

资源类型	授权策略中的资源描述方式
Project、Logstore	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}`
Project、Logstore、Shipper	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/shipper/${shipperName}`
Project、Logstore、Shipper	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/*`
Project、Config	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName}`
Project、Config	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/*`
Project、MachineGroup	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}`
Project、MachineGroup	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/*`
Project、ConsumerGroup	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/consumergroup/${consumerGroupName}`
Project、ConsumerGroup	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}/consumergroup/*`
Project、SavedSearch	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/savedsearch/${savedSearchName}`
Project、SavedSearch	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/savedsearch/*`
Project、Dashboard	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/dashboard/${dashboardName}`
Project、Dashboard	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/dashboard/*`
Project、Alarm	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/alert/${alarmName}`
Project、Alarm	`acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/alert/*`
泛指模式	`acs:log:${regionName}:${projectOwnerAliUid}:*`
泛指模式	`acs:log::${projectOwnerAliUid}:`

说明 Log Service中的资源具有层级关系。Project是根资源，Logstore、config、machinegroup是Project的子资源且相互之间平级，shipper和consumergroup是Logstore的子资源。

授权策略中各个参数的说明如下：

参数	说明
`${regionName}`	某个region的名称。
`${projectOwnerAliUid}`	阿里云账号ID。
`${projectName}`	Project的名称。
`${logstoreName}`	Logstore的名称。
`${logtailconfig}`	Logtail配置的名称。
`${machineGroupName}`	机器组的名称。
`${shipperName}`	日志投递规则的名称。
`${consumerGroupName}`	协同消费组的名称。
`${savedSearchName}`	快速查询的名称。
`${dashboardName}`	仪表盘的名称。
`${alarmName}`	报警规则的名称。

相关文章

概览 2025-04-22 10:36

本文介绍借助RAM实现RAM用户对主账号日志服务资源的访问。背景信息您创建的Project、Logstore、采集配置、

资源列表 2025-04-22 10:36

日志服务支持通过主账号为子账号授予相关资源权限，方便子账号对部分资源进行操作。本文档主要介绍为子账号授权的资源类型。目前可以授予RAM用户的资源类型及其描述方式如下：

鉴权规则 2025-04-22 10:36

日志服务支持通过权限策略实现RAM用户授权、RAM角色授权、标签鉴权以及跨云服务授权。本文介绍了日志服务支持的权限策略的Action、Resource，适用于精细化控制权限。

通过STS实现跨账号访问日志服务资源 2025-04-22 10:36

阿里云账号（主账号）可以通过创建并授权RAM角色的方式授权其他云账号一定的资源权限，其他阿里云账号扮演该角色，并为其名下的RAM用户授予AssumeRole权限之后，其他阿里云账号或RAM用户可以通过访问STS接口获取临时AK和Token令牌，调用日志服务API接口。方案概览<

目录