Topik ini memperkenalkan konsep dasar dan operasi Resource Access Management (RAM). Anda dapat menggunakan operasi ini untuk mengelola identitas pengguna, mengontrol akses sumber daya, memberi otorisasi kepada pengguna RAM untuk mengakses Simple Log Service, memberi otorisasi kepada Simple Log Service untuk membaca log, serta memberi otorisasi kepada peran RAM untuk mengelola sumber daya Simple Log Service.
Konsep Dasar
RAM memungkinkan Anda mengelola identitas pengguna dan mengontrol akses sumber daya. Anda dapat membuat pengguna RAM untuk karyawan, sistem, dan aplikasi, serta memberikan otorisasi kepada pengguna RAM tersebut untuk mengakses sumber daya akun Alibaba Cloud Anda. Jika beberapa pengguna di perusahaan Anda perlu mengakses sumber daya yang sama, Anda dapat menggunakan RAM untuk memberikan izin minimum kepada pengguna-pengguna tersebut. Hal ini menghilangkan kebutuhan untuk berbagi pasangan AccessKey dari akun Alibaba Cloud Anda dengan pengguna-pengguna tersebut dan mengurangi risiko keamanan.
RAM memungkinkan Anda menerapkan kontrol akses terperinci pada sumber daya Simple Log Service. Anda dapat mencapai ini dengan membuat pengguna RAM dan peran RAM serta memberikan izin pada sumber daya Simple Log Service kepada pengguna dan peran tersebut.
Operasi
Manage user identities
Anda dapat menggunakan RAM untuk mengelola identitas pengguna seperti pengguna RAM, peran RAM, dan grup pengguna di bawah akun Alibaba Cloud Anda. Anda juga dapat memberikan otorisasi kepada pengguna RAM, peran RAM, dan grup pengguna ini untuk mengakses dan mengelola sumber daya Simple Log Service dari akun Alibaba Cloud Anda.
Simple Log Service memungkinkan Anda mengumpulkan log dari layanan cloud seperti API Gateway dan Server Load Balancer (SLB). Anda dapat membuat peran RAM dan memberikan otorisasi kepada peran tersebut untuk mengakses layanan-layanan pada halaman Cloud Resource Access Authorization.
Peran
Izin Default
Deskripsi
AliyunLogArchiveRole
AliyunLogArchiveRolePolicy
Simple Log Service dapat mengasumsikan peran ini untuk mengakses log SLB. Kebijakan default digunakan untuk mengekspor log SLB. Untuk memberi otorisasi kepada Simple Log Service untuk mengasumsikan peran ini, klik Otorisasi Akses Sumber Daya Cloud.
AliyunLogImportOSSRole
AliyunLogImportOSSRolePolicy
Simple Log Service dapat mengasumsikan peran ini untuk mengakses sumber daya Object Storage Service (OSS) Anda. Untuk memberi otorisasi kepada Simple Log Service untuk mengasumsikan peran ini, klik Otorisasi Akses Sumber Daya Cloud.
AliyunLogDefaultRole
AliyunLogRolePolicy
Simple Log Service dapat mengasumsikan peran ini untuk mengakses sumber daya layanan Alibaba Cloud lainnya. Untuk memberi otorisasi kepada Simple Log Service untuk mengasumsikan peran ini, klik Otorisasi Akses Sumber Daya Cloud.
AliyunLogETLRole
AliyunLogETLRolePolicy
Simple Log Service dapat mengasumsikan peran ini untuk mengekstrak, mentransformasi, dan memuat data layanan Alibaba Cloud lainnya. Untuk memberi otorisasi kepada Simple Log Service untuk mengasumsikan peran ini, klik Otorisasi Akses Sumber Daya Cloud.
AliyunMNSLoggingRole
AliyunMNSLoggingRolePolicy
Simple Log Service dapat mengasumsikan peran ini untuk mengakses log Message Service (MNS). Kebijakan default digunakan untuk mengekspor log MNS dan menulis log ke OSS. Untuk memberi otorisasi kepada Simple Log Service untuk mengasumsikan peran ini, klik Otorisasi Akses Sumber Daya Cloud.
Control resource access
Anda dapat memberikan izin kepada pengguna RAM, peran RAM, dan grup pengguna yang termasuk dalam akun Alibaba Cloud Anda.
Anda dapat menggunakan kebijakan sistem atau menyesuaikan kebijakan yang lebih terperinci. Untuk informasi lebih lanjut, lihat Ikhtisar.
Tabel berikut menjelaskan kebijakan sistem yang didukung oleh Simple Log Service.
Kebijakan
Jenis
Deskripsi
AliyunLogFullAccess
Kebijakan sistem
Kebijakan ini memberikan akses penuh ke sumber daya Simple Log Service.
AliyunLogReadOnlyAccess
Kebijakan sistem
Kebijakan ini memberikan akses hanya-baca ke sumber daya Simple Log Service.
Authorize a RAM user to access Simple Log Service
Bisnis Anda mungkin memerlukan pemberian izin manajemen O&M kepada personel pada sumber daya Simple Log Service, atau personel lainnya mungkin memerlukan izin akses pada sumber daya tersebut. Dalam kasus ini, Anda perlu memberikan izin yang diperlukan kepada personel tersebut. Personel tersebut kemudian dapat mengakses sumber daya Simple Log Service sebagai pengguna RAM. Untuk alasan keamanan data, kami sarankan Anda mengikuti prinsip hak istimewa minimal (PoLP) saat memberikan izin kepada pengguna RAM.
Untuk informasi lebih lanjut, lihat Buat Pengguna RAM dan Berikan Otorisasi kepada Pengguna RAM untuk Mengakses Simple Log Service.
Authorize Simple Log Service to read logs
Simple Log Service dapat membaca data log dan menghasilkan peringatan berdasarkan data tersebut. Untuk mengizinkan Simple Log Service membaca data log, Anda harus memberikan izin yang diperlukan kepada Simple Log Service.
Untuk informasi lebih lanjut, lihat Tetapkan Peran RAM kepada Layanan Alibaba Cloud.
Authorize a RAM role to manage Simple Log Service resources
Peran RAM adalah identitas virtual yang tidak memiliki kredensial apa pun, seperti kata sandi atau pasangan AccessKey. Anda dapat menetapkan peran RAM kepada entitas tepercaya, seperti akun Alibaba Cloud, pengguna RAM, atau layanan Alibaba Cloud. Setelah entitas tepercaya menerima token STS untuk peran RAM, entitas tepercaya dapat menggunakan token STS untuk mengakses sumber daya yang diizinkan untuk digunakan oleh peran RAM.
Tetapkan peran RAM kepada entitas tepercaya. Entitas tepercaya kemudian dapat mengelola sumber daya Simple Log Service. Untuk informasi lebih lanjut, lihat Gunakan Peran RAM untuk Mengakses Sumber Daya di Seluruh Akun Alibaba Cloud.
Tetapkan peran RAM kepada aplikasi seluler. Aplikasi seluler kemudian dapat langsung mengakses Simple Log Service dan mengunggah log ke Simple Log Service. Untuk informasi lebih lanjut, lihat Bangun Layanan untuk Mengunggah Log dari Aplikasi Seluler ke Simple Log Service.