創建RAM用戶后,需要為RAM用戶授權才能訪問日志服務。本文介紹如何創建RAM用戶及授權。
背景信息
在實際的應用場景中,您可能需要將日志服務交由其他運維人員來管理維護,那么您可登錄阿里云賬號(主賬號)為其創建一個RAM用戶,并授予管理日志服務(AliyunLogFullAccess)的權限;或者其他RAM用戶如果有訪問日志服務的需求,您只需為其授予只讀訪問(AliyunLogReadOnlyAccess)的權限即可。
建議您遵循最小化原則,按需授予RAM用戶必要的權限。關于RAM用戶的詳細信息,請參見入門概述。
步驟一:創建RAM用戶
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊創建用戶。
在創建用戶頁面的用戶賬號信息區域,設置用戶基本信息。
登錄名稱:可包含英文字母、數字、半角句號(.)、短劃線(-)和下劃線(_),最多64個字符。
顯示名稱:最多包含128個字符或漢字。
標簽:單擊
,然后輸入標簽鍵和標簽值。為RAM用戶綁定標簽,便于后續基于標簽的用戶管理。
說明單擊添加用戶,可以批量創建多個RAM用戶。
在訪問方式區域,選擇訪問方式,然后設置對應參數。
為了賬號安全,建議您只選擇以下訪問方式中的一種,將人員用戶和應用程序用戶分離,避免混用。
控制臺訪問
如果RAM用戶代表人員,建議啟用控制臺訪問,使用用戶名和登錄密碼訪問阿里云。您需要設置以下參數:
控制臺登錄密碼:選擇自動生成密碼或者自定義密碼。自定義登錄密碼時,密碼必須滿足密碼復雜度規則。更多信息,請參見設置RAM用戶密碼強度。
密碼重置策略:選擇RAM用戶在下次登錄時是否需要重置密碼。
多因素認證(MFA)策略:選擇是否為當前RAM用戶啟用MFA。啟用MFA后,主賬號還需要為RAM用戶綁定MFA設備或RAM用戶自行綁定MFA設備。更多信息,請參見為RAM用戶綁定MFA設備。
OpenAPI調用訪問
如果RAM用戶代表應用程序,建議啟用OpenAPI調用訪問,使用訪問密鑰(AccessKey)訪問阿里云。啟用后,系統會自動為RAM用戶生成一個AccessKey ID和AccessKey Secret。更多信息,請參見創建AccessKey。
重要RAM用戶的AccessKey Secret只在創建時顯示,不支持查看,請妥善保管。
單擊確定。
根據界面提示,完成安全驗證。
步驟二:為RAM用戶授權
創建RAM用戶后,該RAM用戶無任何權限。請根據需要為其授予如下兩種日志服務的系統策略。
AliyunLogFullAccess:管理日志服務的權限。
AliyunLogReadOnlyAccess:只讀訪問日志服務的權限。
當系統策略無法滿足您的需求,您可以通過創建自定義策略實現精細化權限管理。具體操作,請參見創建自定義權限策略。權限策略示例請參見RAM自定義授權場景和日志服務RAM授權策略。
方式一:在RAM用戶頁面為RAM用戶授權
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在用戶頁面,單擊目標RAM用戶操作列的添加權限。
您也可以選中多個RAM用戶,單擊用戶列表下方的添加權限,為RAM用戶批量授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。系統會自動選擇當前的RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
單擊確認新增授權。
單擊關閉。
方式二:在授權頁面為RAM用戶授權
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在授權頁面,單擊新增授權。
在新增授權面板,為RAM用戶添加權限。
選擇資源范圍。
賬號級別:權限在當前阿里云賬號內生效。
資源組級別:權限在指定的資源組內生效。
重要指定資源組授權生效的前提是該云服務及資源類型已支持資源組,詳情請參見支持資源組的云服務。資源組授權示例,請參見使用資源組限制RAM用戶管理指定的ECS實例。
選擇授權主體。
授權主體即需要添加權限的RAM用戶。支持批量選中多個RAM用戶。
選擇權限策略。
權限策略是一組訪問權限的集合,分為以下兩種。支持批量選中多條權限策略。
單擊確認新增授權。
單擊關閉。