授權(quán)RAM角色讀取Logstore數(shù)據(jù)
導(dǎo)出日志數(shù)據(jù)到MaxCompute時(shí),需要使用默認(rèn)角色或自定義角色讀取Logstore中的日志數(shù)據(jù)。本文介紹如何配置默認(rèn)角色和自定義角色讀取日志服務(wù)權(quán)限。
為默認(rèn)角色授權(quán)
操作步驟
使用阿里云賬號(hào)(主賬號(hào))或RAM用戶登錄阿里云控制臺(tái)。
單擊云資源訪問授權(quán)完成授權(quán)。
說(shuō)明如果阿里云主賬號(hào)沒有默認(rèn)角色
AliyunLogDefaultRole
,RAM用戶只有第一次單擊后會(huì)生成該角色。日志服務(wù)扮演
AliyunLogDefaultRole
角色來(lái)訪問您在其他云產(chǎn)品中的資源。默認(rèn)角色
AliyunLogDefaultRole
的權(quán)限策略請(qǐng)參見AliyunLogDefaultRole。
后續(xù)操作
AliyunLogDefaultRole角色默認(rèn)具備讀取Logstore數(shù)據(jù)的權(quán)限。在創(chuàng)建MaxCompute投遞任務(wù)時(shí),選擇讀日志服務(wù)授權(quán)為默認(rèn)角色。更多信息,請(qǐng)參見創(chuàng)建MaxCompute投遞任務(wù)(新版)。
為自定義角色授權(quán)
操作步驟
授予RAM角色讀取Logstore數(shù)據(jù)的權(quán)限后,MaxCompute投遞任務(wù)可以使用該角色讀取Logstore中的數(shù)據(jù)。
使用阿里云賬號(hào)(主賬號(hào))或RAM管理員登錄RAM控制臺(tái)。
創(chuàng)建阿里云服務(wù)需要扮演的RAM角色。具體操作,請(qǐng)參見創(chuàng)建可信實(shí)體為阿里云服務(wù)的RAM角色。
重要創(chuàng)建RAM角色時(shí),必須選擇可信實(shí)體類型為阿里云服務(wù),且必須選擇受信服務(wù)為日志服務(wù)。
請(qǐng)檢查角色的信任策略如下,
Service
內(nèi)容至少包含"log.aliyuncs.com"
。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" }
創(chuàng)建一個(gè)自定義權(quán)限策略,該策略具備讀取Logstore數(shù)據(jù)的權(quán)限。
您可選擇使用精確授權(quán)或模糊匹配授權(quán)。
精確授權(quán)
在創(chuàng)建權(quán)限策略頁(yè)面,單擊腳本編輯頁(yè)簽,并使用以下腳本替換配置框中的原有內(nèi)容。具體操作,請(qǐng)參見通過(guò)腳本編輯模式創(chuàng)建自定義權(quán)限策略。
重要腳本中的
Project名稱
和Logstore名稱
請(qǐng)根據(jù)實(shí)際情況替換。{ "Version":"1", "Statement":[ { "Action":[ "log:GetCursorOrData", "log:ListShards" ], "Resource":[ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱" ], "Effect":"Allow" } ] }
模糊匹配授權(quán)
在創(chuàng)建權(quán)限策略頁(yè)面,單擊腳本編輯頁(yè)簽,并使用以下腳本替換配置框中的原有內(nèi)容。具體操作,請(qǐng)參見通過(guò)腳本編輯模式創(chuàng)建自定義權(quán)限策略。
重要例如Project名稱為log-project-dev-a、log-project-dev-b、log-project-dev-c等,Logstore名稱為website_a_log、website_b_log、website_c_log等,則您可以使用模糊匹配授權(quán)。
腳本中的
log-project-dev-*
和website_*_log*
請(qǐng)根據(jù)實(shí)際情況替換。
{ "Version":"1", "Statement":[ { "Action":[ "log:GetCursorOrData", "log:ListShards" ], "Resource":[ "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log*" ], "Effect":"Allow" } ] }
為RAM角色添加創(chuàng)建的自定義權(quán)限。具體操作,請(qǐng)參見為RAM角色授權(quán)。
后續(xù)操作
完成授權(quán)后,您可在創(chuàng)建MaxCompute投遞任務(wù)時(shí),選擇讀日志服務(wù)授權(quán)為自定義角色。更多信息,請(qǐng)參見創(chuàng)建MaxCompute投遞任務(wù)(新版)。