可信實體為阿里云服務的RAM角色主要用于解決跨云服務授權訪問的問題,本文介紹如何創建可信實體為阿里云服務的RAM角色及授權。
步驟一:創建RAM角色
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊創建角色。
在創建角色頁面,選擇可信實體類型為阿里云服務,然后單擊下一步。
在配置角色配置向導中,配置如下內容:
參數
說明
角色類型
選擇普通角色類型。
角色名稱
輸入角色名稱,例如aliyunlogreadrole。
備注
輸入創建角色的備注信息。
選擇受信服務
選擇日志服務。
單擊完成。
單擊關閉。
步驟二:為RAM角色授權
說明
成功創建RAM角色后,該RAM角色沒有任何權限,您需要為該RAM角色授權。訪問控制提供如下兩種日志服務的系統策略,建議您遵循最小化原則,按需授予RAM角色必要的權限。
AliyunLogFullAccess:管理日志服務的權限。
AliyunLogReadOnlyAccess:只讀訪問日志服務的權限。
當系統策略無法滿足您的需求,您可以通過創建自定義策略實現精細化權限管理。具體操作,請參見創建自定義權限策略。權限策略示例請參見RAM自定義授權場景和日志服務RAM授權策略。
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在角色頁面,單擊目標RAM角色操作列的新增授權。
您也可以選中多個RAM角色,單擊角色列表下方的新增授權,為RAM角色批量授權。
在新增授權面板,選中目標權限(如:AliyunLogReadOnlyAccess),單擊確認新增授權。
單擊關閉。
文檔內容是否對您有幫助?