阅读1023 返回首页    go 微信

授权RAM用户操作ActionTrail__控制用户的访问权限_用户指南_操作审计-阿里云

如果您还没有开通RAM,请开通RAM服务并使用RAM用户来进行工作。

创建用户和组

  1. 进入RAM控制台。
  2. 创建一个用户,比如zhangsan。
  3. 给用户开通控制台登录,设置登录密码或多因素认证。
  4. 创建一个组,比如auditors。
  5. 添加用户到组,比如添加用户zhangsan到auditors组。

使用ActionTrail系统授权策略给用户组授权

ActionTrail支持的系统授权策略有:

  • AliyunActionTrailReadOnlyAccess(只读权限)
  • AliyunActionTrailFullAccess(完全权限)

您可以根据需要选择其中一种策略授权给auditor组即可。

使用自定义ActionTrail授权策略给用户组授权

假设ActionTrail所支持的系统授权策略不能满足您的需要,比如您希望用户只能从某一IP地址范围发起ActionTrail只读操作,那么您可以选择自定义授权策略。

操作步骤如下:

  1. 进入RAM控制台。
  2. 进入授权策略管理,选择新建自定义授权策略。
  3. 在编辑框中输入你自定义的授权策略文本。
  4. 新建授权策略成功后,您可以授权该策略给auditor组。

如下的授权策略样例仅允许从指定IP地址发起请求对ActionTrail资源的只读操作(你可以调整策略文本中的IP地址范围)。

  1. {
  2.     "Version": "1",
  3.     "Statement": [{
  4.         "Effect": "Allow",
  5.         "Action": [
  6.             "actiontrail:LookupEvents", 
  7.             "actiontrail:Describe*", 
  8.             "actiontrail:Get*"
  9.         ],
  10.         "Resource": "*",
  11.         "Condition":{
  12.             "IpAddress": {
  13.                 "acs:SourceIp": "42.120.66.0/24"
  14.             }
  15.         }
  16.     }]
  17. }

最后更新:2016-11-23 16:04:01

  上一篇:go RAM支持的ActionTrail操作和资源__控制用户的访问权限_用户指南_操作审计-阿里云
  下一篇:go 操作事件(Event)结构定义__用户指南_操作审计-阿里云