本文介紹如何授予RAM用戶數據加工操作權限。
前提條件
已創建RAM用戶。具體操作,請參見創建RAM用戶。
背景信息
使用阿里云賬號授予RAM用戶數據加工操作權限。
創建、刪除、修改數據加工任務。
讀取源Logstore數據進行加工任務預覽。
重要
本文對RAM用戶授權僅用于實現通過RAM用戶登錄日志服務控制臺進行數據加工操作。該授權與加工任務運行時訪問Logstore數據的授權不同。如果當前RAM用戶的訪問密鑰既要用于操作數據加工任務,又要用于數據加工任務運行時訪問Logstore數據,則需要將本文中的權限策略內容與通過訪問密鑰訪問數據中的權限策略內容相結合。
您可以通過如下兩種方式授予RAM用戶操作日志服務數據加工的權限。
系統權限策略:權限范圍較大,用戶無法修改系統權限策略的內容,但配置步驟簡單。
自定義權限策略:權限范圍更精細,用戶可以修改自定義權限策略的內容,配置步驟比系統權限策略更復雜。
系統權限策略
自定義權限策略
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
創建一個自定義權限策略,其中在腳本編輯頁簽,請使用以下腳本替換配置框中的原有內容。具體操作,請參見通過腳本編輯模式創建自定義權限策略。
重要腳本中的
Project名稱
和Logstore名稱
請根據實際情況替換。如果您希望在加工過程中使用當前RAM用戶的訪問密鑰來讀寫Logstore數據,則在添加如下策略內容時,還需添加Logstore數據讀寫權限的策略內容。具體的策略內容,請參見通過訪問密鑰訪問數據。
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project名稱/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project名稱/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project名稱/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }
為RAM用戶添加創建的自定義權限策略。具體操作,請參見為RAM用戶授權。
文檔內容是否對您有幫助?