閱讀1023 返回首頁    go 微信

授權RAM用戶操作ActionTrail__控製用戶的訪問權限_用戶指南_操作審計-阿裏雲

如果您還沒有開通RAM,請開通RAM服務並使用RAM用戶來進行工作。

創建用戶和組

  1. 進入RAM控製台。
  2. 創建一個用戶,比如zhangsan。
  3. 給用戶開通控製台登錄,設置登錄密碼或多因素認證。
  4. 創建一個組,比如auditors。
  5. 添加用戶到組,比如添加用戶zhangsan到auditors組。

使用ActionTrail係統授權策略給用戶組授權

ActionTrail支持的係統授權策略有:

  • AliyunActionTrailReadOnlyAccess(隻讀權限)
  • AliyunActionTrailFullAccess(完全權限)

您可以根據需要選擇其中一種策略授權給auditor組即可。

使用自定義ActionTrail授權策略給用戶組授權

假設ActionTrail所支持的係統授權策略不能滿足您的需要,比如您希望用戶隻能從某一IP地址範圍發起ActionTrail隻讀操作,那麼您可以選擇自定義授權策略。

操作步驟如下:

  1. 進入RAM控製台。
  2. 進入授權策略管理,選擇新建自定義授權策略。
  3. 在編輯框中輸入你自定義的授權策略文本。
  4. 新建授權策略成功後,您可以授權該策略給auditor組。

如下的授權策略樣例僅允許從指定IP地址發起請求對ActionTrail資源的隻讀操作(你可以調整策略文本中的IP地址範圍)。

  1. {
  2.     "Version": "1",
  3.     "Statement": [{
  4.         "Effect": "Allow",
  5.         "Action": [
  6.             "actiontrail:LookupEvents", 
  7.             "actiontrail:Describe*", 
  8.             "actiontrail:Get*"
  9.         ],
  10.         "Resource": "*",
  11.         "Condition":{
  12.             "IpAddress": {
  13.                 "acs:SourceIp": "42.120.66.0/24"
  14.             }
  15.         }
  16.     }]
  17. }

最後更新:2016-11-23 16:04:01

  上一篇:go RAM支持的ActionTrail操作和資源__控製用戶的訪問權限_用戶指南_操作審計-阿裏雲
  下一篇:go 操作事件(Event)結構定義__用戶指南_操作審計-阿裏雲