操作步驟

1. 登錄RAM控制臺。

2. 在左側導航欄，選擇身份管理 > 用戶。

3. 在用戶頁面，單擊目標RAM用戶操作列的添加權限。

4. 在新增授權面板，選擇資源范圍，然后選擇權限策略。

   1. 選擇資源范圍。

      • 賬號級別：權限在當前阿里云賬號內生效。

      • 資源組級別：權限在指定的資源組內生效。

        重要

        指定資源組授權生效的前提是該云服務及資源類型已支持資源組，詳情請參見支持資源組的云服務。資源組授權示例，請參見使用云SSO實現多賬號場景下的身份權限管理。

   2. 選擇授權主體。

      授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。

   3. 選擇權限策略。

      權限策略是一組訪問權限的集合，分為以下兩種。支持批量選中多條權限策略。

      • 系統策略：從策略名稱列表，選擇需要的權限。

        權限策略名稱	說明
        AliyunActionTrailReadOnlyAccess	只讀訪問操作審計的權限
        AliyunActionTrailFullAccess	管理操作審計的權限
        AliyunOSSReadOnlyAccess	只讀訪問對象存儲服務權限
        AliyunLogReadOnlyAccess	只讀訪問日志服務的權限

      • 自定義策略：單擊所有策略類型，選擇自定義策略。

        關于如何創建自定義策略，請參見創建自定義權限策略。

        • 示例一：授予RAM用戶操作審計的所有權限，以及獲取OSS Bucket列表和SLS Project列表的權限，以便管理跟蹤。

          示例代碼：

          {
              "Version": "1",
              "Statement": [
                  {
                      "Action": [
                          "actiontrail:*",
                          "oss:GetService",
                          "log:ListProject"
                      ],
                      "Resource": "*",
                      "Effect": "Allow"
                  }
              ]
          }
                                  

          權限說明：

          Action	說明
          oss:GetService	獲取OSS Bucket列表的權限
          log:ListProject	獲取SLS Project列表的權限
          actiontrail:*	操作審計所有操作的權限

        • 示例二：授予RAM用戶管理跟蹤和在日志服務SLS中管理Logstore、索引、看板、圖表、日志項目的相關權限，以便管理事件告警。

          示例代碼：

          { 
              "Version": "1", 
              "Statement": [
                {
               "Effect": "Allow",
               "Action": [
                 "actiontrail:DescribeTrails",
                 "actiontrail:SetDefaultTrail",
                 "actiontrail:GetDefaultTrail",
                 "actiontrail:CreateTrail"
               ],
               "Resource": "*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateLogStore",
                 "log:CreateIndex",
                 "log:UpdateIndex"
               ],
               "Resource": [
                 "acs:log:*:*:project/Project名稱/logstore/internal-alert-history",
                 "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
               ]   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateDashboard",
                 "log:CreateChart",
                 "log:UpdateDashboard"
               ],
               "Resource": "acs:log:*:*:project/Project名稱/dashboard/*"
             },
             {
               "Effect": "Allow",
               "Action": [
                 "log:*"
               ],
               "Resource": "acs:log:*:*:project/Project名稱/job/*"   
               },
             {
               "Effect": "Allow",
               "Action": [
                 "log:CreateProject"
               ],
               "Resource": [
                 "acs:log:*:*:project/sls-alert-*"
               ]
             }
           ]
          }

          權限說明：

          Action	說明
          actiontrail:DescribeTrails	查詢跟蹤
          actiontrail:SetDefaultTrail	設置事件告警的默認跟蹤
          actiontrail:GetDefaultTrail	獲取事件告警的默認跟蹤
          actiontrail:CreateTrail	創建跟蹤
          log:CreateLogstore	創建Logstore
          log:CreateIndex	創建索引
          log:UpdateIndex	更新索引
          log:CreateDashboard	創建看板
          log:CreateChart	創建圖表
          log:UpdateDashboard	更新看板
          log:CreateProject	創建日志項目

   4. 單擊確認新增授權。

5. 單擊關閉。