阅读704 返回首页    go windows

RAM子帐号访问控制台__常见问题_日志服务-阿里云

子帐号控制台登录前提条件

使用RAM子帐号访问日志服务控制台,子帐号本身需要满足以下两个条件:

  • 需要为该子用户创建AccessKey。
  • 必须启用该子帐号的控制台登录功能,为该子帐号设置登录用户名、密码。

设置方法请参考文档:《子帐号控制台登录

授权子帐号访问日志服务控制台

满足登录前提条件的子帐号,要使用日志服务控制台还需要授权。控制台使用日志服务提供的OpenAPI访问后台的日志服务,因此这一步本质上就是授予子帐号调用日志服务某些OpenAPI的权限,下面针对一些典型的子用户访问场景,对授权方法进行说明。

授予子帐号对父帐号日志服务资源只读权限

  1. 登录访问控制服务控制台,到子用户管理界面,选择要授权的子用户。操作方法参考访问控制文档《给用户授权
  2. 在授权策略页面选择AliyunLogReadOnlyAccess。

授予子帐号对父帐号日志服务资源完全访问权限

和场景《授予子帐号对父帐号日志服务资源只读权限》的唯一区别在于,授权策略选择AliyunLogFullAccess。

更细粒度的子用户权限控制

在访问控制服务控制台可以自定义授权策略,创建方法参考创建自定义授权策略,日志服务提供的权限策略参考日志服务RAM授权策略

授权策略例子:

  1. 子帐号可以看到父帐号有哪些日志服务Project。
  2. 子帐号对父帐号的某个日志服务Project有只读的访问权限。

同时满足1、2的授权策略如下:

  1. {
  2.    "Version": "1",
  3.    "Statement": [
  4.      {
  5.        "Action": ["log:ListProject"],
  6.        "Resource": ["acs:log:*:*:project/*"],
  7.        "Effect": "Allow"
  8.      },
  9.      {
  10.        "Action": [
  11.          "log:Get*",
  12.          "log:List*"
  13.        ],
  14.        "Resource": "acs:log:*:*:project/<指定的Proejct名称>/*",
  15.        "Effect": "Allow"
  16.      }
  17.    ]
  18.  }

最后更新:2016-11-28 10:02:21

  上一篇:go Logtail性能/资源占用__常见问题_日志服务-阿里云
  下一篇:go 典型使用场景__最佳实践_日志服务-阿里云