Peran terhubung layanan AliyunServiceRoleForActionTrail adalah peran Resource Access Management (RAM) yang diasumsikan oleh ActionTrail untuk mengakses layanan Alibaba Cloud lainnya. Topik ini menjelaskan skenario penggunaan peran tersebut, izin yang diberikan, serta cara membuat dan menghapus peran tersebut.
Skenario
Peran AliyunServiceRoleForActionTrail berlaku untuk skenario-skenario berikut:
Akses Layanan Log Sederhana
Jika Anda membuat jejak dan menentukan proyek Layanan Log Sederhana untuk menyimpan acara, ActionTrail akan mengasumsikan peran AliyunServiceRoleForActionTrail untuk mendapatkan izin membuat penyimpanan log di proyek yang ditentukan dan menulis acara ke penyimpanan log tersebut.
Akses Object Storage Service (OSS)
Jika Anda membuat jejak dan menentukan Bucket OSS untuk menyimpan acara, ActionTrail akan mengasumsikan peran AliyunServiceRoleForActionTrail untuk mendapatkan izin menulis acara ke Bucket OSS yang ditentukan.
Akses Simple Message Queue (sebelumnya MNS)
Jika Anda membuat jejak dan menentukan Bucket OSS untuk menyimpan acara serta menentukan topik Simple Message Queue untuk menerima pesan pengiriman acara, ActionTrail akan mengasumsikan peran AliyunServiceRoleForActionTrail untuk mendapatkan izin mengirim pesan ke topik Simple Message Queue.
Akses Resource Directory
Jika Anda membuat jejak multi-akun untuk mengantarkan acara semua anggota dalam direktori sumber daya ke objek penyimpanan yang ditentukan, ActionTrail akan mengasumsikan peran AliyunServiceRoleForActionTrail untuk mendapatkan izin mengakses direktori sumber daya dan mengambil anggota dalam direktori sumber daya tersebut.
Untuk informasi lebih lanjut, lihat Peran Terhubung Layanan.
Izin
Peran: AliyunServiceRoleForActionTrail
Kebijakan: AliyunServiceRolePolicyForActionTrail
Setelah peran terhubung layanan diberikan kepada ActionTrail, ActionTrail diberi izin untuk mengakses sumber daya layanan Alibaba Cloud lainnya seperti OSS, Layanan Log Sederhana, Simple Message Queue (sebelumnya MNS), dan Resource Directory.
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:ListObjects",
"oss:PutObject",
"oss:GetBucketInfo",
"oss:GetBucketLifecycle",
"oss:GetBucketLocation",
"kms:ListKeys",
"kms:Listalias",
"kms:ListAliasesByKeyId",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:GetProject",
"log:ListJobs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:PostLogStoreLogs",
"log:CreateLogstore",
"log:GetLogstore",
"log:CreateIndex",
"log:UpdateIndex",
"log:GetIndex",
"log:GetLogStoreLogs"
],
"Resource": [
"acs:log:*:*:project/*/logstore/actiontrail_*",
"acs:log:*:*:project/*/logstore/innertrail_*",
"acs:log:*:*:project/*/logstore/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"log:CreateDashboard",
"log:UpdateDashboard"
],
"Resource": "acs:log:*:*:project/*/dashboard/*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateSavedSearch",
"log:UpdateSavedSearch"
],
"Resource": [
"acs:log:*:*:project/*/savedsearch/actiontrail_*",
"acs:log:*:*:project/*/savedsearch/innertrail_*",
"acs:log:*:*:project/*/savedsearch/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"mns:PublishMessage"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"resourcemanager:GetResourceDirectory",
"resourcemanager:ListAccounts",
"resourcemanager:GetResourceDirectoryAccount"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cms:DescribeMetricList",
"cms:QueryMetricList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "actiontrail.aliyuncs.com"
}
}
},
{
"Effect": "Allow",
"Action": "odps:updateUsersToAdmin",
"Resource": "acs:odps:*:*:projects/actiontrail_*"
}
]
}Buat peran AliyunServiceRoleForActionTrail
ActionTrail secara otomatis membuat peran AliyunServiceRoleForActionTrail jika peran ini tidak ada ketika Anda melakukan salah satu operasi berikut untuk pertama kalinya:
Panggil operasi CreateTrail untuk membuat jejak.
Buat jejak di konsol ActionTrail.
Hapus peran AliyunServiceRoleForActionTrail
Sebelum menghapus peran AliyunServiceRoleForActionTrail, Anda harus menghapus semua jejak di konsol ActionTrail. Untuk informasi lebih lanjut, lihat Hapus Jejak Single-Account dan Hapus Jejak Multi-Account.
Anda dapat menghapus peran AliyunServiceRoleForActionTrail di konsol RAM. Untuk informasi lebih lanjut, lihat Hapus Peran RAM.