Dalam topik ini, Simple Log Service berada di Akun Alibaba Cloud A, sedangkan Object Storage Service (OSS) berada di Akun Alibaba Cloud B. Untuk mengirimkan data dari Simple Log Service Logstore ke bucket OSS, Anda dapat memberikan otorisasi kepada pekerjaan pengiriman data OSS versi baru untuk mengasumsikan peran Resource Access Management (RAM) kustom.
Langkah 1: Berikan peran RAM role-a izin untuk membaca data dari Logstore
Setelah memberikan peran RAM bernama role-a dari Akun Alibaba Cloud A izin untuk membaca data dari Logstore, pekerjaan pengiriman data OSS dapat mengasumsikan peran tersebut untuk membaca data dari Logstore.
Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud A.
Buat kebijakan kustom yang memberikan izin untuk membaca data dari Logstore.
Anda dapat menggunakan isi kebijakan dengan kecocokan tepat atau kecocokan kabur untuk otorisasi.
Kecocokan tepat untuk otorisasi
Di halaman Create Policy, klik tab JSON. Ganti konten editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.
PentingGanti
Nama ProyekdanNama Logstoredalam isi kebijakan sesuai dengan kebutuhan bisnis Anda.{ "Version":"1", "Statement":[ { "Action":[ "log:GetCursorOrData", "log:ListShards" ], "Resource":[ "acs:log:*:*:project/Nama Proyek/logstore/Nama Logstore" ], "Effect":"Allow" } ] }Kecocokan kabur untuk otorisasi
Di halaman Create Policy, klik tab JSON. Ganti konten editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.
PentingDalam contoh ini, nama proyek adalah log-project-dev-a, log-project-dev-b, dan log-project-dev-c, serta nama Logstore adalah website_a_log, website_b_log, dan website_c_log.
Ganti
log-project-dev-*danwebsite_*_log*dalam isi kebijakan sesuai dengan kebutuhan bisnis Anda.
{ "Version":"1", "Statement":[ { "Action":[ "log:GetCursorOrData", "log:ListShards" ], "Resource":[ "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log*" ], "Effect":"Allow" } ] }Buat peran RAM bernama
role-a. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Layanan Tepercaya Alibaba Cloud.PentingSaat membuat peran RAM, atur Principal Type ke Cloud Service, dan Principal Name ke Simple Log Service.
Periksa kebijakan kepercayaan peran RAM. Pastikan elemen
Servicemencakup setidaknya"log.aliyuncs.com".{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" }
Lampirkan kebijakan kustom yang dibuat ke peran RAM
role-a. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.
Apa yang harus dilakukan selanjutnya
Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Peran RAM.
Jika Anda mengatur parameter Logstore Read RAM Role ke Peran Kustom saat membuat pekerjaan pengiriman data OSS, Anda harus memasukkan ARN dari peran tersebut. Untuk informasi lebih lanjut, lihat Buat Pekerjaan Pengiriman Data OSS (Versi Baru).
Langkah 2: Berikan peran RAM role-b izin untuk menulis data ke bucket OSS
Setelah memberikan peran RAM bernama role-b dari Akun Alibaba Cloud B izin untuk menulis data ke bucket OSS, pekerjaan pengiriman data OSS dapat mengasumsikan peran tersebut untuk menulis data yang dibaca dari Logstore di Akun Alibaba Cloud A ke bucket OSS.
Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud B.
Buat kebijakan kustom yang memberikan izin untuk menulis data ke bucket OSS.
Di halaman Create Policy, klik tab JSON. Ganti konten editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.
{ "Version": "1", "Statement": [ { "Action": [ "oss:PutObject" ], "Resource": "*", "Effect": "Allow" } ] }CatatanJika ingin menerapkan kontrol akses yang lebih rinci pada sumber daya OSS, Anda dapat mengonfigurasi kebijakan berdasarkan instruksi di Kebijakan RAM.
Buat peran RAM bernama
role-b. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Layanan Tepercaya Alibaba Cloud.PentingSaat membuat peran RAM, atur Principal Type ke Cloud Service, dan Principal Name ke Simple Log Service.
Periksa kebijakan kepercayaan peran RAM. Pastikan elemen
Servicemencakup setidaknya"log.aliyuncs.com".{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" }
Ubah kebijakan kepercayaan peran RAM
role-b. Untuk informasi lebih lanjut, lihat Edit Kebijakan Kepercayaan Peran RAM.PentingTambahkan ID Akun Alibaba Cloud A@log.aliyuncs.com ke elemen Service. Ganti ID Akun Alibaba Cloud A dengan ID sebenarnya. Anda dapat melihat ID akun Alibaba Cloud Anda di Konsol Pusat Akun.
Kebijakan berikut memungkinkan Akun Alibaba Cloud A mendapatkan Token Layanan Keamanan (STS) untuk mengelola sumber daya cloud Akun Alibaba Cloud B.
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com", "ID Akun Alibaba Cloud A@log.aliyuncs.com" ] } } ], "Version": "1" }Lampirkan kebijakan kustom yang dibuat ke peran RAM
role-b. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.
Apa yang harus dilakukan selanjutnya
Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Peran RAM.
Jika Anda mengatur parameter OSS Write RAM Role ke Peran Kustom saat membuat pekerjaan pengiriman data OSS, Anda harus memasukkan ARN dari peran tersebut. Untuk informasi lebih lanjut, lihat Buat Pekerjaan Pengiriman Data OSS (Versi Baru).
