授權(quán)RAM用戶查詢分析日志
在默認(rèn)情況下,RAM用戶沒有權(quán)限查詢和分析云防火墻日志。如果需要授權(quán)RAM用戶使用該服務(wù)但又不打算授予日志服務(wù)其他管理權(quán)限,您可以在RAM控制臺制定一個(gè)自定義權(quán)限策略,并將其授予RAM用戶。這種做法既滿足RAM用戶對日志查詢分析服務(wù)的需求,又遵循最小必要權(quán)限原則,有效防止過度授權(quán)。
前提條件
已開通云防火墻日志分析服務(wù)。具體操作,請參見日志分析概述。
已獲取云防火墻日志的Project和Logstore名稱。
開通云防火墻日志分析功能后,云防火墻將自動創(chuàng)建一個(gè)專屬Project和一個(gè)專屬Logstore。您可以登錄日志服務(wù)控制臺查看云防火墻專屬的Project和Logstore。
已創(chuàng)建RAM用戶。具體操作,請參見創(chuàng)建RAM用戶。
已為RAM用戶授予系統(tǒng)策略AliyunYundunCloudFirewallReadOnlyAccess(只讀訪問云防火墻)權(quán)限。具體操作,請參見為RAM用戶授權(quán)。
以下內(nèi)容主要介紹如何授予RAM用戶分析及查詢分析云防火墻日志的權(quán)限。如果您需要授權(quán)RAM用戶日志服務(wù)的全部管理權(quán)限或只讀權(quán)限,您可以直接授予RAM用戶AliyunLogFullAccess或AliyunLogReadOnlyAccess權(quán)限。
操作步驟
使用阿里云賬號(主賬號)或RAM管理員登錄RAM控制臺。
通過腳本編輯模式創(chuàng)建自定義權(quán)限策略。
在左側(cè)導(dǎo)航欄,選擇。
在權(quán)限策略頁面,單擊創(chuàng)建權(quán)限策略。然后單擊腳本編輯頁簽。
輸入以下策略內(nèi)容,單擊確定。
說明將以下策略內(nèi)容中的
${Project}與${Logstore}分別替換為云防火墻日志服務(wù)專屬Project和Logstore的名稱。{ "Version": "1", "Statement": [ { "Action": "log:GetProject", "Resource": "acs:log:*:*:project/${Project}", "Effect": "Allow" }, { "Action": "log:ListLogStores", "Resource": "acs:log:*:*:project/${Project}/logstore/*", "Effect": "Allow" }, { "Action": "log:GetIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore", "Effect": "Allow" }, { "Action": "log:ListDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:ListSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:UpdateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:GetLogStore", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:GetLogStoreLogs", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" } ] }輸入權(quán)限策略名稱和備注。
檢查并優(yōu)化權(quán)限策略內(nèi)容。
基礎(chǔ)權(quán)限策略優(yōu)化
系統(tǒng)會對您添加的權(quán)限策略語句自動進(jìn)行基礎(chǔ)優(yōu)化。基礎(chǔ)權(quán)限策略優(yōu)化會完成以下任務(wù):
刪除不必要的條件。
刪除不必要的數(shù)組。
可選:高級權(quán)限策略優(yōu)化
您可以將鼠標(biāo)懸浮在可選:高級策略優(yōu)化上,單擊執(zhí)行,對權(quán)限策略內(nèi)容進(jìn)行高級優(yōu)化。高級權(quán)限策略優(yōu)化功能會完成以下任務(wù):
拆分不兼容操作的資源或條件。
收縮資源到更小范圍。
去重或合并語句。
單擊確定。
授予RAM用戶自定義策略的權(quán)限。具有操作,請參見為RAM用戶授權(quán)。
完成授權(quán)后,被授權(quán)的RAM用戶可以使用云防火墻日志查詢分析服務(wù),但無法操作日志服務(wù)的其他功能。
相關(guān)文檔
您可以對采集到的日志進(jìn)行實(shí)時(shí)查詢與分析,以便于及時(shí)了解流量異常情況,保護(hù)資產(chǎn)安全。查詢?nèi)罩镜木唧w操作,請參見查詢及分析日志。