如果RAM用戶需要使用Web應(yīng)用防火墻(Web Application Firewall,簡稱WAF)日志查詢分析服務(wù),需要由阿里云賬號(hào)為其進(jìn)行授權(quán)操作。

背景信息

開通和使用WAF日志查詢分析服務(wù),具體涉及以下權(quán)限。
授予權(quán)限 支持的賬號(hào)類型
開通日志服務(wù)(全局一次性操作) 阿里云賬號(hào)
授權(quán)WAF實(shí)時(shí)寫入日志數(shù)據(jù)到日志服務(wù)的專屬日志庫(全局一次性操作)
  • 阿里云賬號(hào)
  • 具備AliyunLogFullAccess權(quán)限的RAM用戶
  • 具備指定權(quán)限的RAM用戶
使用日志查詢分析功能
  • 阿里云賬號(hào)
  • 具備AliyunLogFullAccess權(quán)限的RAM用戶
  • 具備指定權(quán)限的RAM用戶
您也可以根據(jù)實(shí)際需求為RAM用戶授予相關(guān)權(quán)限。
授權(quán)場景 授予權(quán)限 操作步驟
RAM用戶授予日志服務(wù)產(chǎn)品的所有操作權(quán)限。 授予日志服務(wù)全部管理權(quán)限AliyunLogFullAccess 具體操作步驟,請(qǐng)參見RAM用戶授權(quán)。
阿里云賬號(hào)開通WAF日志查詢分析服務(wù)并完成授權(quán)操作后,為RAM用戶授予日志查看權(quán)限。 授予只讀權(quán)限AliyunLogReadOnlyAccess 具體操作步驟,請(qǐng)參見RAM用戶授權(quán)。
僅為RAM用戶授予開通和使用WAF日志查詢分析服務(wù)的權(quán)限,不授予日志服務(wù)產(chǎn)品的其他管理權(quán)限。 創(chuàng)建自定義授權(quán)策略,并為RAM用戶授予該自定義授權(quán)策略。 具體操作步驟,請(qǐng)參見本文操作步驟章節(jié)。

操作步驟

  1. 使用阿里云賬號(hào)登錄RAM控制臺(tái)。
  2. 在左側(cè)導(dǎo)航欄,選擇權(quán)限管理 > 權(quán)限策略
  3. 權(quán)限策略頁面,單擊創(chuàng)建權(quán)限策略
  4. 創(chuàng)建權(quán)限策略頁面,單擊腳本編輯頁簽。
  5. 輸入以下策略內(nèi)容,單擊下一步:編輯基本信息。
    注意 請(qǐng)將以下策略內(nèi)容中的${Project}${Logstore}分別替換為您的WAF日志服務(wù)專屬ProjectLogstore的名稱。 
    {
  "Version": "1",
  "Statement": [
      {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateProject",
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    }
  ]
}
  6. 輸入權(quán)限策略名稱備注。
  7. 單擊確定。
  8. 身份管理 > 用戶頁面,找到需要授權(quán)的RAM用戶,并單擊操作列的添加權(quán)限
  9. 選擇您所創(chuàng)建的自定義授權(quán)策略,單擊確定。
    完成授權(quán)后,被授權(quán)的RAM用戶將可以開通和使用WAF日志查詢分析服務(wù),但無法操作日志服務(wù)產(chǎn)品的其他功能。