本文介紹RAM的基本概念和相關操作,包括身份管理、資源訪問控制、授權RAM用戶訪問日志服務、授權服務角色讀取日志和授權用戶角色操作日志服務。
基本概念
RAM(Resource Access Management)是阿里云提供的用戶身份管理與資源訪問控制服務。您可以通過RAM創建、管理用戶賬號(例如員工、系統或應用程序),并控制這些用戶賬號對您名下資源具有的操作權限。當您的企業存在多用戶協同操作資源時,使用RAM可以讓您避免與其他用戶共享云賬號密鑰,按需為用戶分配最小權限,從而降低您的企業信息安全風險。
為了更精細地管理和操作日志服務資源,您可以通過阿里云RAM產品為您名下的RAM用戶、日志服務的RAM服務角色和用戶角色賦予相應的訪問權限。
相關操作
身份管理
您可以通過RAM進行用戶身份管理。例如在您的賬號下創建并管理用戶賬號、用戶組、創建服務角色以代表日志服務,創建用戶角色以進行跨賬號的資源操作與授權管理。
日志服務支持收集API網關、SLB等云產品的日志數據,您需要在配置前通過云資源訪問授權頁面完成服務角色的創建與授權。
角色
默認權限
說明
AliyunLogArchiveRole
AliyunLogArchiveRolePolicy
日志服務默認使用此角色訪問您的SLB云產品日志,默認授權策略用于導出SLB服務日志。快速授權請單擊云資源訪問授權。
AliyunLogImportOSSRole
AliyunLogImportOSSRolePolicy
用于日志服務導入OSS功能角色的授權策略。快速授權請單擊云資源訪問授權。
AliyunLogDefaultRole
AliyunLogRolePolicy
用于日志服務默認角色的授權策略,包含OSS的寫入權限。快速授權請單擊云資源訪問授權。
AliyunLogETLRole
AliyunLogETLRolePolicy
用于日志服務ETL功能角色的授權策略,日志服務默認使用此角色來訪問您在其他云產品中的資源。快速授權請單擊云資源訪問授權。
AliyunMNSLoggingRole
AliyunMNSLoggingRolePolicy
日志服務默認使用此角色訪問您的MNS云產品日志,默認授權策略用于導出MNS服務日志,包含OSS的寫入權限。快速授權請單擊云資源訪問授權。
資源訪問控制
您可以為名下的用戶賬號、用戶組以及角色授予對應的授權策略。
您也可以創建自定義授權策略,或者以自定義授權策略和系統授權策略為模板,參見鑒權規則編輯更細粒度的授權策略。更多信息,請參見鑒權規則。
日志服務支持以下系統授權策略:
授權策略
類型
說明
AliyunLogFullAccess
系統策略
日志服務的全部管理權限。
AliyunLogReadOnlyAccess
系統策略
只讀訪問日志服務的權限。
授權RAM用戶訪問日志服務
在實際的應用場景中,阿里云賬號可能需要將日志服務的運營維護工作交予其名下的RAM用戶,由RAM用戶對日志服務進行日常維護工作;或者阿里云賬號名下的RAM用戶可能有訪問日志服務資源的需求。此時,阿里云賬號需要對其名下的RAM用戶進行授權,授予其訪問或者操作日志服務的權限。出于安全性的考慮,日志服務建議您將RAM用戶的權限設置為需求范圍內的最小權限。更多信息,請參見創建RAM用戶及授權。
授權服務角色讀日志
日志服務提供基于用戶日志內容的報警功能。為了讀取日志數據,需要您授權日志服務賬號訪問日志數據。更多信息,請參見創建可信實體為阿里云服務的RAM角色及授權。
授權用戶角色操作日志服務
RAM用戶角色是一種虛擬用戶,它沒有確定的身份認證密鑰,且需要被一個受信的實體用戶(比如云賬號、RAM-User賬號、云服務賬號)扮演才能正常使用。扮演成功后實體用戶將獲得RAM用戶角色的臨時安全令牌,使用這個臨時安全令牌就能以RAM用戶角色身份訪問被授權的資源。
將日志服務的操作權限授予一個受信實體用戶,允許該實體用戶下的RAM角色操作日志服務。更多信息,請參見創建可信實體為阿里云賬號的RAM角色及授權。
授權移動應用客戶端通過直連方式訪問日志服務,將App的日志直接上傳到日志服務中。更多信息,請參見采集-搭建移動端日志直傳服務。