投遞日志到OSS的RAM授權(quán)管理
本文介紹用戶將Logstore的日志投遞到本賬號(hào)或其他賬號(hào)下的OSS Bucket的過程中,涉及的RAM權(quán)限配置步驟。
使用RAM用戶創(chuàng)建OSS投遞任務(wù)(推薦)
每一個(gè)OSS投遞任務(wù)只能指定一個(gè)OSS Bucket,如果您需要同時(shí)投遞到兩個(gè)阿里云賬號(hào)的OSS Bucket,請(qǐng)創(chuàng)建兩個(gè)投遞任務(wù)。
同賬號(hào)投遞
Logstore和Bucket屬于同一阿里云賬號(hào)。
操作步驟
創(chuàng)建RAM用戶
ram-user。具體操作,請(qǐng)參見創(chuàng)建RAM用戶。授權(quán)RAM用戶
ram-user讀取Logstore數(shù)據(jù)以及投遞數(shù)據(jù)到OSS。創(chuàng)建自定義權(quán)限策略
ShipLogsToOSS,策略腳本如下所示。具體操作步驟,請(qǐng)參見創(chuàng)建自定義權(quán)限策略。說明請(qǐng)根據(jù)實(shí)際情況替換腳本中的Project名稱和Logstore名稱。
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "log:GetLogStore", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs" ], "Resource": [ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱", "acs:log:*:*:project/Project名稱/logstore/internal-diagnostic_log" ] }, { "Effect": "Allow", "Action": [ "log:CreateJob", "log:UpdateJob", "log:DeleteJob", "log:ListJobs", "log:GetJob" ], "Resource": "acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "log:ListLogStores", "log:ListDashboard", "log:ListSavedSearch" ], "Resource": "acs:log:*:*:project/Project名稱/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }
后續(xù)操作
使用RAM用戶登錄日志服務(wù)控制臺(tái),并創(chuàng)建OSS投遞任務(wù)。具體操作,請(qǐng)參見創(chuàng)建OSS投遞任務(wù)(舊版)。
跨賬號(hào)投遞
Logstore和Bucket屬于不同阿里云賬號(hào),假如Logstore屬于A賬號(hào),Bucket屬于B賬號(hào)。
操作步驟
B賬號(hào)修改AliyunLogDefaultRole的信任策略,以便于A賬號(hào)可以寫入B賬號(hào)的Bucket。
A賬號(hào)創(chuàng)建RAM用戶
ram-user-a。具體操作,請(qǐng)參見創(chuàng)建RAM用戶。授權(quán)RAM用戶
ram-user-a讀取Logstore數(shù)據(jù)以及投遞數(shù)據(jù)到OSS。創(chuàng)建自定義權(quán)限策略
ShipLogsToOSS,策略腳本如下所示,其中請(qǐng)根據(jù)實(shí)際情況替換{阿里云賬號(hào)B的主賬號(hào)ID}。具體操作步驟,請(qǐng)參見創(chuàng)建自定義權(quán)限策略。{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "log:GetLogStore", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs" ], "Resource": [ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱", "acs:log:*:*:project/Project名稱/logstore/internal-diagnostic_log" ] }, { "Effect": "Allow", "Action": [ "log:CreateJob", "log:UpdateJob", "log:DeleteJob", "log:ListJobs", "log:GetJob" ], "Resource": "acs:log:*:*:project/Project名稱/job/*" }, { "Effect": "Allow", "Action": [ "log:ListLogStores", "log:ListDashboard", "log:ListSavedSearch" ], "Resource": "acs:log:*:*:project/Project名稱/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "acs:ram::{阿里云賬號(hào)B的主賬號(hào)ID}:role/aliyunlogdefaultrole" } ] }為RAM用戶
ram-user-a添加ShipLogsToOSS權(quán)限。具體操作,請(qǐng)參見為RAM用戶授權(quán)。
后續(xù)操作
使用RAM用戶登錄日志服務(wù)控制臺(tái),并創(chuàng)建OSS投遞任務(wù)。具體操作,請(qǐng)參見創(chuàng)建OSS投遞任務(wù)(舊版)。
使用阿里云主賬號(hào)創(chuàng)建OSS投遞任務(wù)
阿里云主賬號(hào)擁有賬號(hào)下所有云資源的管理權(quán)限,為了降低安全風(fēng)險(xiǎn),強(qiáng)烈建議使用RAM用戶。
每一個(gè)OSS投遞任務(wù)只能指定一個(gè)OSS Bucket,如果您需要同時(shí)投遞到兩個(gè)阿里云賬號(hào)的OSS Bucket,請(qǐng)創(chuàng)建兩個(gè)投遞任務(wù)。
同賬號(hào)投遞
Logstore和Bucket屬于同一阿里云賬號(hào)。
操作步驟
創(chuàng)建RAM角色(AliyunLogDefaultRole),具體步驟請(qǐng)參見云資源訪問授權(quán)。
后續(xù)操作
使用阿里云賬號(hào)(主賬號(hào))登錄日志服務(wù)控制臺(tái),并創(chuàng)建OSS投遞任務(wù)。具體操作,請(qǐng)參見創(chuàng)建OSS投遞任務(wù)(舊版)。
跨賬號(hào)投遞
Logstore和Bucket屬于不同阿里云賬號(hào),假如Logstore屬于A賬號(hào),Bucket屬于B賬號(hào)。
操作步驟
B賬號(hào)創(chuàng)建RAM角色(AliyunLogDefaultRole),具體步驟請(qǐng)參見云資源訪問授權(quán)。
B賬號(hào)修改AliyunLogDefaultRole的信任策略,以便于A賬號(hào)可以寫入B賬號(hào)的Bucket。
后續(xù)操作
使用阿里云賬號(hào)(主賬號(hào))登錄日志服務(wù)控制臺(tái),并創(chuàng)建OSS投遞任務(wù)。具體操作,請(qǐng)參見創(chuàng)建OSS投遞任務(wù)(舊版)。
修改AliyunLogDefaultRole的信任策略
將阿里云賬號(hào)A下的日志投遞至賬號(hào)B下的OSS Bucket中,需要修改AliyunLogDefaultRole的信任策略。操作步驟如下所示:
阿里云賬號(hào)B在云資源訪問授權(quán)頁面,創(chuàng)建角色AliyunLogDefaultRole。
使用阿里云賬號(hào)B登錄RAM 控制臺(tái)。
在左側(cè)導(dǎo)航欄中,選擇身份管理 > 角色。
在RAM角色列表中,單擊
AliyunLogDefaultRole。在信任策略頁簽中,單擊編輯信任策略。
說明在
Service配置項(xiàng)中添加{阿里云賬號(hào)A的主賬號(hào)ID}@log.aliyuncs.com,其中請(qǐng)根據(jù)實(shí)際情況替換{阿里云賬號(hào)A的主賬號(hào)ID},您可以在賬號(hào)中心中查看阿里云賬號(hào)ID。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "{阿里云賬號(hào)A的主賬號(hào)ID}@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }