全部产品
Search

搜索本产品

    Cloud Firewall:Berikan izin kepada pengguna RAM untuk menanyakan dan menganalisis Log Cloud Firewall

    文档中心

    Cloud Firewall:Berikan izin kepada pengguna RAM untuk menanyakan dan menganalisis Log Cloud Firewall

    更新时间:Jul 02, 2025

    Secara default, pengguna Resource Access Management (RAM) tidak memiliki izin untuk menanyakan atau menganalisis Log Cloud Firewall. Jika Anda ingin memberikan izin kepada pengguna RAM untuk menanyakan dan menganalisis Log Cloud Firewall tanpa memberikan izin tambahan pada Simple Log Service (SLS), Anda dapat membuat kebijakan kustom di konsol RAM dan melampirkannya ke pengguna RAM. Hal ini memungkinkan pengguna RAM untuk menanyakan dan menganalisis log berdasarkan prinsip hak istimewa minimal.

    Prasyarat

    • Fitur analisis log dari Cloud Firewall telah diaktifkan. Untuk informasi lebih lanjut, lihat Ikhtisar.

    • Nama Proyek dan penyimpanan log yang dibuat untuk Log Cloud Firewall diperoleh.

      Setelah mengaktifkan fitur analisis log, Cloud Firewall secara otomatis membuat Proyek khusus dan penyimpanan log khusus. Anda dapat masuk ke Konsol SLS untuk melihat Proyek dan penyimpanan log yang didedikasikan untuk Cloud Firewall.

    • Pengguna RAM telah dibuat. Untuk informasi lebih lanjut tentang cara membuat pengguna RAM, lihat Buat pengguna RAM.

    • Kebijakan sistem AliyunYundunCloudFirewallReadOnlyAccess dilampirkan ke pengguna RAM. Kebijakan ini memberikan izin baca-saja pada Cloud Firewall. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.

    Catatan

    Bagian berikut menjelaskan cara memberikan izin kepada pengguna RAM untuk menanyakan dan menganalisis Log Cloud Firewall. Jika Anda ingin memberikan izin penuh atau izin baca-saja pada SLS kepada pengguna RAM, Anda dapat melampirkan kebijakan AliyunLogFullAccess atau AliyunLogReadOnlyAccess ke pengguna RAM.

    Prosedur

    1. Masuk ke Konsol RAM dengan akun Alibaba Cloud atau sebagai pengguna RAM yang memiliki hak administratif.

    2. Buat kebijakan kustom di tab JSON.

      1. Di panel navigasi sisi kiri, pilih Permissions > Policies.

      2. Di halaman Policies, klik Create Policy. Lalu, klik tab JSON.

      3. Salin dan tempel konten kebijakan berikut ke editor kode.

        Catatan

        Ganti ${Project} dan ${Logstore} dalam konten kebijakan berikut dengan nama Proyek SLS dan penyimpanan log yang didedikasikan untuk Cloud Firewall.

        {
  "Version": "1",
  "Statement": [
    {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetLogStoreLogs",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    }
  ]
}

      4. Klik Optimize di bagian atas. Di pesan Optimalkan, klik Perform untuk mengoptimalkan kebijakan.

        Sistem melakukan operasi berikut selama optimasi:

        • Pisahkan sumber daya atau kondisi yang tidak kompatibel dengan tindakan.

        • Persempit sumber daya.

        • Hapus duplikat atau gabungkan pernyataan kebijakan.

      5. Di halaman Create Policy, klik OK.

      6. Di kotak dialog Create Policy, konfigurasikan parameter Name dan Description, lalu klik OK.

    3. Lampirkan kebijakan kustom ke pengguna RAM. Untuk informasi lebih lanjut, lihat Berikan izin kepada pengguna RAM.

      Kemudian, pengguna RAM dapat menanyakan dan menganalisis Log Cloud Firewall, tetapi tidak dapat menggunakan fitur lain dari SLS.

    Apa yang harus dilakukan selanjutnya

    Anda dapat menanyakan dan menganalisis log yang dikumpulkan secara real-time untuk memantau pengecualian lalu lintas dan melindungi aset Anda. Untuk informasi lebih lanjut tentang cara menanyakan log, lihat Tanyakan dan analisis log.