作者: 唐恺
概述
本文介绍如何授权阿里云子账号操作数据加工功能.
所有资源都属于阿里云主账号,子账号配置日志服务数据加工必须由主账号为其授权,包括:
- 创建、删除、修改、更新数据加工任务及配置。
- 读取源Logstore数据以便在控制台进行加工任务预览。
有以下两种授权供选择:
日志服务管理权限
主账号登录控制台,为子账号授予全部管理权限AliyunLogFullAccess。
详细步骤请参考授权RAM 用户。
细粒度权限
主账号创建自定义权限策略,并为子账号授予该自定义权限策略。
- 登录RAM控制台。
- 在左侧导航选择权限管理 > 权限策略管理。
- 在权限策略管理页面单击新建权限策略。
- 输入策略名称和备注。
- 勾选脚本配置的配置模式。
- 请替换参数后,输入以下策略内容。
说明:请将替换为当前进行数据加工作业的日志服务Project名称。请将替换为当前进行数据加工作业的源Logstore名称。
{
"Version":"1",
"Statement":[
{
"Effect":"Allow",
"Action":[
"log:CreateLogStore",
"log:CreateIndex",
"log:UpdateIndex",
"log:Get*"
],
"Resource":"acs:log:*:*:project/<Project名称>/logstore/internal-etl-log"
},
{
"Action":[
"log:List*"
],
"Resource":"acs:log:*:*:project/<Project名称>/logstore/*",
"Effect":"Allow"
},
{
"Action":[
"log:Get*",
"log:List*"
],
"Resource":[
"acs:log:*:*:project/<Project名称>/logstore/<Logstore名称>"
],
"Effect":"Allow"
},
{
"Effect":"Allow",
"Action":[
"log:GetDashboard",
"log:CreateDashboard",
"log:UpdateDashboard"
],
"Resource":"acs:log:*:*:project/<Project名称>/dashboard/internal-etl-insight"
},
{
"Effect":"Allow",
"Action":"log:CreateDashboard",
"Resource":"acs:log:*:*:project/<Project名称>/dashboard/*"
},
{
"Effect":"Allow",
"Action":[
"log:*"
],
"Resource":"acs:log:*:*:project/<Project名称>/job/*"
},
{
"Effect":"Allow",
"Action":[
"log:*"
],
"Resource":"acs:log:*:*:project/<Project名称>/jobschedule/*"
}
]
}
- 单击确定。
- 在左侧导航栏中选择人员管理 > 用户。
- 找到需要授权的子账号并单击对应的授权。
- 添加上文中创建的自定义权限策略,并单击确定。
进一步参考
欢迎扫码加入官方钉钉群获得实时更新与阿里云工程师的及时直接的支持: 
