子賬號(hào)開通或使用PolarDB-X 1.0 SQL審計(jì)功能之前,需要由主賬號(hào)為其授權(quán)。

背景信息

使用日志服務(wù)的實(shí)時(shí)日志分析功能, 需要如下權(quán)限:

操作類型 支持的操作賬號(hào)類型
開通日志服務(wù)(全局一次性操作) 主賬號(hào)
授權(quán)PolarDB-X 1.0寫入數(shù)據(jù)到您的日志服務(wù) (全局一次性操作)
  • 主賬號(hào)
  • 具備AliyunLogFullAccess權(quán)限的子賬號(hào)
  • 具備指定權(quán)限的子賬號(hào)
使用日志分析功能
  • 主賬號(hào)
  • 具備AliyunLogFullAccess權(quán)限的子賬號(hào)
  • 具備指定權(quán)限的子賬號(hào)

您也可以根據(jù)需求為子賬號(hào)授權(quán):

  • 為子賬號(hào)授予日志服務(wù)的全部操作權(quán)限:授予全部管理權(quán)限AliyunLogFullAccess。詳情請(qǐng)參見創(chuàng)建RAM用戶及授權(quán)
  • 主賬號(hào)開啟PolarDB-X 1.0 SQL審計(jì)分析后,為子賬號(hào)授予日志查看的權(quán)限:授予只讀權(quán)限AliyunLogReadOnlyAccess。詳情請(qǐng)參見創(chuàng)建RAM用戶及授權(quán)
  • 僅為子賬號(hào)授予開通及使用PolarDB-X 1.0 SQL審計(jì)與分析的權(quán)限,不授予其他日志服務(wù)管理權(quán)限:創(chuàng)建自定義授權(quán)策略,并為子賬號(hào)授予該自定義授權(quán)策略。

操作步驟

  1. 登錄RAM 控制臺(tái)。
  2. 選擇權(quán)限管理 > 權(quán)限策略。
  3. 在頁(yè)面右側(cè)單擊創(chuàng)建權(quán)限策略。
  4. 單擊腳本編輯。 請(qǐng)?zhí)鎿Q參數(shù)后,輸入以下策略內(nèi)容。您也可以添加其他自定義授權(quán)內(nèi)容。
    說明 請(qǐng)將 ${Project}${Logstore}替換為您的日志服務(wù)Project和Logstore名稱。 
     {
   "Version": "1",
   "Statement": [
       {
       "Action": "log:GetProject",
       "Resource": "acs:log:*:*:project/${Project}",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateProject",
       "Resource": "acs:log:*:*:project/*",
       "Effect": "Allow"
     },
     { 
      "Action": "log:ListLogStores",
       "Resource": "acs:log:*:*:project/${Project}/logstore/*",
       "Effect": "Allow"
    },
     {
       "Action": "log:CreateLogStore",
       "Resource": "acs:log:*:*:project/${Project}/logstore/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:GetIndex",
       "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateIndex",
       "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
       "Effect": "Allow"
     },
     {
       "Action": "log:UpdateIndex",
       "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateDashboard",
       "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:UpdateDashboard",
       "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:CreateSavedSearch",
       "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
       "Effect": "Allow"
     },
     {
       "Action": "log:UpdateSavedSearch",
       "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
       "Effect": "Allow"
     }
   ]
 }
  5. 單擊確定。
  6. 在左側(cè)導(dǎo)航欄中單擊身份管理 > 用戶。
  7. 找到子賬號(hào)并單擊對(duì)應(yīng)的添加權(quán)限。
  8. 添加上文中創(chuàng)建的自定義授權(quán)策略,并單擊確定。