Cara mengotorisasi pengguna RAM agar dapat menggunakan fitur log akses CLB - Server Load Balancer

Gunakan Akun Alibaba Cloud Anda untuk memberikan akses kepada pengguna Resource Access Management (RAM) ke fitur log akses Classic Load Balancer (CLB). Karena fitur ini mencakup CLB, Simple Log Service (SLS), CloudMonitor, dan RAM, tidak ada kebijakan sistem tunggal yang mencakup semua izin yang diperlukan. Anda harus membuat kebijakan kustom yang menggabungkan semua izin tersebut, lalu menyambungkannya ke pengguna RAM yang dituju.

Prasyarat

Sebelum memulai, pastikan Anda telah:

Mengaktifkan fitur log akses untuk Akun Alibaba Cloud Anda. Lihat Aktifkan fitur manajemen log akses.
Memiliki Akun Alibaba Cloud atau pengguna RAM dengan hak administratif terhadap Konsol RAM.

Ikhtisar

Pemberian akses pengguna RAM ke log akses CLB dilakukan dalam dua langkah:

Create a policy — Definisikan kebijakan kustom dengan izin yang diperlukan di seluruh layanan CLB, SLS, CloudMonitor, dan RAM.
Attach the policy — Berikan kebijakan tersebut kepada pengguna RAM yang dituju.

Create a policy

Tidak ada kebijakan sistem yang tersedia yang mencakup semua izin yang dibutuhkan oleh fitur log akses CLB karena fitur ini bergantung pada integrasi beberapa layanan. Anda harus membuat kebijakan kustom.

Bagian ini menjelaskan cara membuat kebijakan kustom pada tab JSON. Anda juga dapat menggunakan tab Visual editor — lihat Buat kebijakan kustom pada tab Visual editor.

Masuk ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Permissions > Policies.
Pada halaman Policies, klik Create Policy.
Pada halaman Create Policy, klik tab JSON.

Ganti konten default dengan kebijakan berikut, lalu klik OK. Kebijakan ini memberikan izin di empat layanan:

Permission group	Actions	Purpose
SLB project access	`slb:Create`, `slb:List` pada `acs:log:::project/*`	Membuat dan menampilkan daftar proyek SLS untuk penyimpanan log akses CLB
SLS project management	`log:Create`, `log:List` pada `acs:log:::project/*`	Mengelola proyek SLS
SLS logstore and dashboard	`log:Create`, `log:List`, `log:Get`, `log:Update` pada logstore dan dashboard	Akses baca dan tulis data log akses serta dashboard
CloudMonitor	`cms:QueryMetric*`	Menanyakan metrik CloudMonitor
CLB access log settings	`slb:Describe*`, `slb:DeleteAccessLogsDownloadAttribute`, `slb:SetAccessLogsDownloadAttribute`, `slb:DescribeAccessLogsDownloadAttribute`	Mengelola konfigurasi log akses CLB
RAM role lookup	`ram:Get*`, `ram:ListRoles`	Membaca peran RAM yang diperlukan oleh fitur log akses

{
  "Statement": [
   {
     "Action": [
       "slb:Create*",
       "slb:List*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*"
   },
   {
     "Action": [
       "log:Create*",
       "log:List*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*"
   },
   {
     "Action": [
       "log:Create*",
       "log:List*",
       "log:Get*",
       "log:Update*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*/logstore/*"
   },
   {
     "Action": [
       "log:Create*",
       "log:List*",
       "log:Get*",
       "log:Update*"
     ],
     "Effect": "Allow",
     "Resource": "acs:log:*:*:project/*/dashboard/*"
   },
   {
     "Action": "cms:QueryMetric*",
     "Resource": "*",
     "Effect": "Allow"
   },
   {
     "Action": [
       "slb:Describe*",
       "slb:DeleteAccessLogsDownloadAttribute",
       "slb:SetAccessLogsDownloadAttribute",
       "slb:DescribeAccessLogsDownloadAttribute"
     ],
     "Resource": "*",
     "Effect": "Allow"
   },
   {
     "Action": [
       "ram:Get*",
       "ram:ListRoles"
     ],
     "Effect": "Allow",
     "Resource": "*"
   }
  ],
  "Version": "1"
}

Pada kotak dialog Create Policy, masukkan Policy Name dan Description opsional, lalu klik OK.

Attach the policy to a RAM user

Masuk ke Konsol RAM.
Di panel navigasi sebelah kiri, pilih Permissions > Grants.
Pada halaman Permission, klik Grant Permission.

Konfigurasikan parameter berikut:

Resource scope: Pilih cakupan tempat otorisasi berlaku.
Option Description
Account Otorisasi berlaku untuk Akun Alibaba Cloud saat ini
Resource Group Otorisasi berlaku untuk kelompok sumber daya tertentu
Catatan
Jika Anda memilih Resource Group, pastikan layanan tersebut mendukung kelompok sumber daya. Lihat Layanan yang kompatibel dengan Resource Group.
Principal: Pilih pengguna RAM yang akan diberi izin. Anda dapat memilih beberapa principal.

Option	Description
Account	Otorisasi berlaku untuk Akun Alibaba Cloud saat ini
Resource Group	Otorisasi berlaku untuk kelompok sumber daya tertentu

Policy: Pilih kebijakan kustom yang telah Anda buat. Anda dapat memilih beberapa kebijakan.

Policy type	Description
System policy	Ditetapkan sebelumnya oleh Alibaba Cloud. Hanya-baca — Anda tidak dapat mengubah kebijakan ini. Lihat Layanan yang kompatibel dengan RAM.
Custom policy	Dibuat dan dikelola oleh Anda. Lihat Buat kebijakan kustom.

Catatan

Konsol RAM menandai kebijakan sistem berisiko tinggi seperti AdministratorAccess dan AliyunRAMFullAccess. Hindari menyambungkan kebijakan ini kecuali benar-benar diperlukan.

Klik Grant permissions.
Klik Close.

Verify the authorization

Pada halaman Grants, temukan pengguna RAM tersebut dan pastikan kebijakan kustom muncul dalam daftar kebijakan. Setelah disambungkan, pengguna RAM tersebut dapat menggunakan fitur log akses CLB.

Jika kebijakan tidak muncul, periksa apakah Anda telah memilih principal dan jenis kebijakan yang benar (Custom policy) selama langkah pemberian izin, lalu ulangi proses otorisasi.