本文為您介紹操作審計服務關聯角色(AliyunServiceRoleForActionTrail)的應用場景、權限策略及相關操作。
應用場景
操作審計服務關聯角色(AliyunServiceRoleForActionTrail)的應用場景如下:
訪問日志服務SLS(Log Service)
當您創建跟蹤并設置了SLS Project地址用于接收操作事件時,操作審計需要向您指定的SLS Project創建Logstore并寫入操作事件,需要通過服務關聯角色獲取寫入SLS Logstore的權限。
訪問對象存儲OSS(Object Storage Service)
當您創建跟蹤并設置了OSS存儲空間用于接收操作事件時,操作審計需要向您指定的OSS存儲空間寫入操作事件,需要通過服務關聯角色獲取寫入OSS存儲空間的權限。
訪問輕量消息隊列(原 MNS)
當您創建跟蹤并設置了OSS存儲空間用于接收操作事件時,您可以設置當投遞發生時向您的SMQ主題推送消息。操作審計需向對應默認的SMQ主題寫入消息事件,需要通過服務關聯角色獲取通過SMQ推送消息的權限。
訪問資源目錄(Resource Directory)
當您通過創建多賬號跟蹤將整個資源目錄所有成員的操作事件收集到統一的存儲空間時,操作審計需要獲取您的資源目錄結構和成員列表,需要通過服務關聯角色獲取查看資源目錄和成員的權限。
關于服務關聯角色的更多信息,請參見服務關聯角色。
權限說明
角色名稱:AliyunServiceRoleForActionTrail
權限策略:AliyunServiceRolePolicyForActionTrail
權限說明:操作審計默認使用此角色來訪問您的OSS、SLS、MNS、RD等其他云產品資源。
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:ListObjects",
"oss:PutObject",
"oss:GetBucketInfo",
"oss:GetBucketLifecycle",
"oss:GetBucketLocation",
"kms:ListKeys",
"kms:Listalias",
"kms:ListAliasesByKeyId",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:GetProject",
"log:ListJobs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:PostLogStoreLogs",
"log:CreateLogstore",
"log:GetLogstore",
"log:CreateIndex",
"log:UpdateIndex",
"log:GetIndex",
"log:GetLogStoreLogs"
],
"Resource": [
"acs:log:*:*:project/*/logstore/actiontrail_*",
"acs:log:*:*:project/*/logstore/innertrail_*",
"acs:log:*:*:project/*/logstore/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"log:CreateDashboard",
"log:UpdateDashboard"
],
"Resource": "acs:log:*:*:project/*/dashboard/*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateSavedSearch",
"log:UpdateSavedSearch"
],
"Resource": [
"acs:log:*:*:project/*/savedsearch/actiontrail_*",
"acs:log:*:*:project/*/savedsearch/innertrail_*",
"acs:log:*:*:project/*/savedsearch/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"mns:PublishMessage"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"resourcemanager:GetResourceDirectory",
"resourcemanager:ListAccounts",
"resourcemanager:GetResourceDirectoryAccount"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cms:DescribeMetricList",
"cms:QueryMetricList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "actiontrail.aliyuncs.com"
}
}
},
{
"Effect": "Allow",
"Action": "odps:updateUsersToAdmin",
"Resource": "acs:odps:*:*:projects/actiontrail_*"
}
]
}創建服務關聯角色
系統會在以下場景中自動創建服務關聯角色(AliyunServiceRoleForActionTrail):
當您調用CreateTrail接口首次創建跟蹤時,會自動創建服務關聯角色。
當您在操作審計控制臺首次創建跟蹤時,會自動創建服務關聯角色。
刪除服務關聯角色
刪除服務關聯角色前,您需要在操作審計控制臺刪除所有的跟蹤。具體操作,請參見刪除單賬號跟蹤和刪除多賬號跟蹤。
您可以在RAM控制臺刪除服務關聯角色。具體操作,請參見刪除RAM角色。