开发者社区> 问答> 正文

OSS如何投递到RAM授权进阶?

本文是作为 快捷授权的补充,介绍细粒度Policy设置、父子账号Role授权等功能。

授权 Role 管理


通过快捷授权,OSS 用户主账号 B 默认创建的 AliyunLogDefaultRole 角色描述如下:


如日志服务用户主账号 A 与 OSS 用户主账号 B 相同,保持默认角色描述即可,log.aliyuncs.com 等价于 B_ALIYUN_ID@log.aliyuncs.com。
否则,请登录 账号管理->安全设置 查看 A 账号 ID 并修改角色描述,添加 A_ALIYUN_ID@log.aliyuncs.com(支持添加多个),假设 A 的主账号 ID 为1654218965343050:


该角色描述 A 有权限通过日志服务获取临时 Token 来操作 B 的资源(细节请参考 权限控制 STS)。

授权 Policy 管理


通过快捷授权,角色 AliyunLogDefaultRole 默认被授予 AliyunLogRolePolicy,具有写用户 B 所有 OSS Bucket 的权限。
AliyunLogRolePolicy 的授权描述如下:


若希望更精细的访问控制粒度,请解除角色 AliyunLogDefaultRole 的 AliyunLogRolePolicy 授权,并参考 OSS 授权 创建更细粒度的 Policy,授权给角色 AliyunLogDefaultRole。

主子账号 Role 授权


默认情况下,OSS 用户主账号 B 为日志服务主账号 A 创建角色、授权后,由 A 使用角色在日志服务创建 OSS 投递配置。
如果 A 的子账号 a_1 需要使用该角色创建日志投递数据到 OSS 规则,那么,主账号 A 需要为子账号 a_1 授予 PassRole 权限。
进入阿里云“访问控制”控制台,主账号 A 可以为子账号 a_1 授予 AliyunRAMFullAccess 权限。如此,a1 将具备 RAM 所有权限,可以使用 B 为 A 创建的角色来配置日志服务投递 OSS 规则。
AliyunRAMFullAccess 权限较大,如果 A 需要控制 a_1 的权限范围,只授予投递 OSS 的必须权限,可以修改授权策略的 Action、Resource,如下示例(其中45643 只是示例uid,请以实际uid为准):

展开
收起
轩墨 2017-10-23 10:48:03 2006 0
0 条回答
写回答
取消 提交回答
问答排行榜
最热
最新

相关电子书

更多
OSS运维进阶实战手册 立即下载
《OSS运维基础实战手册》 立即下载
OSS运维基础实战手册 立即下载