閱讀704 返回首頁    go 魔獸

RAM子帳號訪問控製台__常見問題_日誌服務-阿裏雲

子帳號控製台登錄前提條件

使用RAM子帳號訪問日誌服務控製台,子帳號本身需要滿足以下兩個條件:

  • 需要為該子用戶創建AccessKey。
  • 必須啟用該子帳號的控製台登錄功能,為該子帳號設置登錄用戶名、密碼。

設置方法請參考文檔:《子帳號控製台登錄

授權子帳號訪問日誌服務控製台

滿足登錄前提條件的子帳號,要使用日誌服務控製台還需要授權。控製台使用日誌服務提供的OpenAPI訪問後台的日誌服務,因此這一步本質上就是授予子帳號調用日誌服務某些OpenAPI的權限,下麵針對一些典型的子用戶訪問場景,對授權方法進行說明。

授予子帳號對父帳號日誌服務資源隻讀權限

  1. 登錄訪問控製服務控製台,到子用戶管理界麵,選擇要授權的子用戶。操作方法參考訪問控製文檔《給用戶授權
  2. 在授權策略頁麵選擇AliyunLogReadOnlyAccess。

授予子帳號對父帳號日誌服務資源完全訪問權限

和場景《授予子帳號對父帳號日誌服務資源隻讀權限》的唯一區別在於,授權策略選擇AliyunLogFullAccess。

更細粒度的子用戶權限控製

在訪問控製服務控製台可以自定義授權策略,創建方法參考創建自定義授權策略,日誌服務提供的權限策略參考日誌服務RAM授權策略

授權策略例子:

  1. 子帳號可以看到父帳號有哪些日誌服務Project。
  2. 子帳號對父帳號的某個日誌服務Project有隻讀的訪問權限。

同時滿足1、2的授權策略如下:

  1. {
  2.    "Version": "1",
  3.    "Statement": [
  4.      {
  5.        "Action": ["log:ListProject"],
  6.        "Resource": ["acs:log:*:*:project/*"],
  7.        "Effect": "Allow"
  8.      },
  9.      {
  10.        "Action": [
  11.          "log:Get*",
  12.          "log:List*"
  13.        ],
  14.        "Resource": "acs:log:*:*:project/<指定的Proejct名稱>/*",
  15.        "Effect": "Allow"
  16.      }
  17.    ]
  18.  }

最後更新:2016-11-28 10:02:21

  上一篇:go Logtail性能/資源占用__常見問題_日誌服務-阿裏雲
  下一篇:go 典型使用場景__最佳實踐_日誌服務-阿裏雲