簡介
本文介紹RAM的基本概念和相關(guān)操作,包括身份管理、資源訪問控制、授權(quán)RAM用戶訪問日志服務、授權(quán)服務角色讀取日志和授權(quán)用戶角色操作日志服務。
基本概念
RAM(Resource Access Management)是阿里云提供的用戶身份管理與資源訪問控制服務。您可以通過RAM創(chuàng)建、管理用戶賬號(例如員工、系統(tǒng)或應用程序),并控制這些用戶賬號對您名下資源具有的操作權(quán)限。當您的企業(yè)存在多用戶協(xié)同操作資源時,使用RAM可以讓您避免與其他用戶共享云賬號密鑰,按需為用戶分配最小權(quán)限,從而降低您的企業(yè)信息安全風險。
為了更精細地管理和操作日志服務資源,您可以通過阿里云RAM產(chǎn)品為您名下的RAM用戶、日志服務的RAM服務角色和用戶角色賦予相應的訪問權(quán)限。
相關(guān)操作
身份管理
您可以通過RAM進行用戶身份管理。例如在您的賬號下創(chuàng)建并管理用戶賬號、用戶組、創(chuàng)建服務角色以代表日志服務,創(chuàng)建用戶角色以進行跨賬號的資源操作與授權(quán)管理。
日志服務支持收集API網(wǎng)關(guān)、SLB等云產(chǎn)品的日志數(shù)據(jù),您需要在配置前通過云資源訪問授權(quán)頁面完成服務角色的創(chuàng)建與授權(quán)。
角色
默認權(quán)限
說明
AliyunLogArchiveRole
AliyunLogArchiveRolePolicy
日志服務默認使用此角色訪問您的SLB云產(chǎn)品日志,默認授權(quán)策略用于導出SLB服務日志。快速授權(quán)請單擊云資源訪問授權(quán)。
AliyunLogImportOSSRole
AliyunLogImportOSSRolePolicy
用于日志服務導入OSS功能角色的授權(quán)策略。快速授權(quán)請單擊云資源訪問授權(quán)。
AliyunLogDefaultRole
AliyunLogRolePolicy
用于日志服務默認角色的授權(quán)策略,包含OSS的寫入權(quán)限。快速授權(quán)請單擊云資源訪問授權(quán)。
AliyunLogETLRole
AliyunLogETLRolePolicy
用于日志服務ETL功能角色的授權(quán)策略,日志服務默認使用此角色來訪問您在其他云產(chǎn)品中的資源。快速授權(quán)請單擊云資源訪問授權(quán)。
AliyunMNSLoggingRole
AliyunMNSLoggingRolePolicy
日志服務默認使用此角色訪問您的MNS云產(chǎn)品日志,默認授權(quán)策略用于導出MNS服務日志,包含OSS的寫入權(quán)限。快速授權(quán)請單擊云資源訪問授權(quán)。
資源訪問控制
您可以為名下的用戶賬號、用戶組以及角色授予對應的授權(quán)策略。
您也可以創(chuàng)建自定義授權(quán)策略,或者以自定義授權(quán)策略和系統(tǒng)授權(quán)策略為模板,參見鑒權(quán)規(guī)則編輯更細粒度的授權(quán)策略。更多信息,請參見鑒權(quán)規(guī)則。
日志服務支持以下系統(tǒng)授權(quán)策略:
授權(quán)策略
類型
說明
AliyunLogFullAccess
系統(tǒng)策略
日志服務的全部管理權(quán)限。
AliyunLogReadOnlyAccess
系統(tǒng)策略
只讀訪問日志服務的權(quán)限。
授權(quán)RAM用戶訪問日志服務
在實際的應用場景中,阿里云賬號可能需要將日志服務的運營維護工作交予其名下的RAM用戶,由RAM用戶對日志服務進行日常維護工作;或者阿里云賬號名下的RAM用戶可能有訪問日志服務資源的需求。此時,阿里云賬號需要對其名下的RAM用戶進行授權(quán),授予其訪問或者操作日志服務的權(quán)限。出于安全性的考慮,日志服務建議您將RAM用戶的權(quán)限設置為需求范圍內(nèi)的最小權(quán)限。更多信息,請參見創(chuàng)建RAM用戶及授權(quán)。
授權(quán)服務角色讀日志
日志服務提供基于用戶日志內(nèi)容的報警功能。為了讀取日志數(shù)據(jù),需要您授權(quán)日志服務賬號訪問日志數(shù)據(jù)。更多信息,請參見創(chuàng)建可信實體為阿里云服務的RAM角色及授權(quán)。
授權(quán)用戶角色操作日志服務
RAM用戶角色是一種虛擬用戶,它沒有確定的身份認證密鑰,且需要被一個受信的實體用戶(比如云賬號、RAM-User賬號、云服務賬號)扮演才能正常使用。扮演成功后實體用戶將獲得RAM用戶角色的臨時安全令牌,使用這個臨時安全令牌就能以RAM用戶角色身份訪問被授權(quán)的資源。
將日志服務的操作權(quán)限授予一個受信實體用戶,允許該實體用戶下的RAM角色操作日志服務。更多信息,請參見創(chuàng)建可信實體為阿里云賬號的RAM角色及授權(quán)。
授權(quán)移動應用客戶端通過直連方式訪問日志服務,將App的日志直接上傳到日志服務中。更多信息,請參見采集-搭建移動端日志直傳服務。