操作步驟

1. 登錄日志服務控制臺。

2. 在Project列表區域，單擊目標Project。

   

3. 在左側導航欄中，選擇其他 > 權限助手。

4. 在權限助手頁面，完成如下配置，并單擊下一步。

   模式包括普通項目和APP，具體配置如下表所示。

   • 普通項目

     普通項目模式包括日志服務的所有功能模塊權限的配置。

     參數	說明
     預設角色選擇	不同的角色已配置不同的功能模塊，您可以根據需求選擇已預設的角色，也可以自定義選擇功能模塊。 功能模塊的權限包括管理權限和只讀權限，請根據需求選擇。 重要 功能模塊之間存在依賴關系如下所示： 必須配置項目的只讀或管理權限，否則無法操作其他功能。 數據接入模塊依賴于Logstore模塊，所以勾選數據接入中的任意一項都會默認勾選Logstore模塊。 可視化模塊依賴于數據查詢模塊。 告警、訂閱和數據接入（云產品接入）等模塊依賴于數據可視化模塊。其中，使用告警和訂閱模塊時，系統默認配置數據可視化模塊的管理權限。
     資源	配置功能模塊的權限后，您可以配置權限能使用的資源。項目名稱和Logstore名稱支持用*號表示，例如： 擁有如下權限的用戶或角色能操作日志服務的所有資源。 "Action": "log:*", "Resource": "*", 擁有如下權限的用戶或角色只能操作project01項目下的資源。 acs:log:*:*:project/project01 acs:log:*:*:project/project01/* 擁有如下權限的用戶或角色只能操作project01項目下logstore01日志庫下的資源。 acs:log:*:*:project/project01/logstore/logstore01 acs:log:*:*:project/project01/logstore/logstore01/*
     限制條件	根據需求配置限制條件。更多信息，請參見權限策略基本元素。

   • APP

     APP模式包括成本管家、日志審計服務和K8s事件中心的權限配置。

     配置項	說明
     APP列表	請根據需求選擇您要配置的APP及其權限，權限包括允許和禁止。
     預設角色選擇	當APP的權限選擇允許時，會自動選中相關的功能模塊，您也可以自定義選擇。 功能模塊的權限包括管理權限和只讀權限，請根據需求選擇。 重要 功能模塊之間存在依賴關系如下所示： 必須配置項目的只讀或管理權限，否則無法操作其他功能。 數據接入模塊依賴于Logstore模塊，所以勾選數據接入中的任意一項都會默認勾選Logstore模塊。 可視化模塊依賴于數據查詢模塊。 告警、訂閱和數據接入（云產品接入）等模塊依賴于數據可視化模塊。其中，使用告警和訂閱模塊時，系統默認配置數據可視化模塊的管理權限。
     資源	系統根據已選擇的APP指定資源，無法修改。
     限制條件	根據需求配置限制條件。更多信息，請參見權限策略基本元素。

5. 預覽權限策略確認規則信息，同時您還可以編輯已生成的權限策略，具體操作如下表所示。 完成后單擊下一步。

   操作	說明
   格式化	對手動編輯過的JSON代碼進行格式化。
   壓縮	由于應用策略配置時有長度限制，壓縮功能可以去掉多余的空格和換行。
   重置	還原手動編輯的內容。
   復制到剪貼板	將當前編輯器中的內容復制到剪貼板，方便后續使用。
   添加到自定義模板	將當前的權限策略添加到自定義策略模板中，方便后續使用。 說明 該模板只存放在瀏覽器的本地存儲中，更換瀏覽器后無法查看。

6. 創建自定義權限策略。

   1. 使用阿里云賬號（主賬號）或RAM管理員登錄RAM控制臺。

   2. 在左側導航欄，選擇權限管理 > 權限策略。

   3. 在權限策略頁面，單擊創建權限策略。

      

   4. 在創建權限策略頁面，單擊腳本編輯頁簽。將配置框中的原有腳本替換為您在步驟5中獲取的權限策略，然后單擊確定。

   5. 在創建權限策略對話框，輸入權限策略名稱和備注，然后單擊確定。

7. 為授權主體（RAM用戶、RAM角色等）添加步驟6中創建的權限策略。具體操作，請參見為RAM用戶授權、為RAM角色授權。

   授權完成后，您就可以使用該授權主體（RAM用戶、RAM角色等）。

相關操作

• 應用常見策略模板

  在權限助手頁簽，已設置常用策略模板，您可以根據需求選用模板。

• 應用自定義策略模板

  在權限助手頁簽，還可以將自定義的權限策略添加到自定義策略模板中，方便后續使用。

  說明

  自定義策略模板保存在瀏覽器的本地存儲中，更換瀏覽器后無法查看。