All Products
Search

This Product

    :Akses data lintas akun dengan role kustom

    Document Center

    :Akses data lintas akun dengan role kustom

    Last Updated:Mar 27, 2026

    Jika resource Simple Log Service Anda berada di Akun Alibaba Cloud A dan resource Object Storage Service (OSS) Anda berada di Akun Alibaba Cloud B, Anda harus menggunakan role kustom untuk mengirim data dari Logstore Simple Log Service ke bucket OSS lintas akun. Topik ini menjelaskan cara memberikan izin yang diperlukan.

    Langkah 1: Berikan akses baca ke RAM role role-a

    Setelah Anda memberikan izin kepada RAM role role-a di akun A untuk membaca data Logstore, pekerjaan pengiriman data OSS dapat mengasumsikan role ini guna membaca data dari Logstore tersebut.

    1. Masuk ke RAM console menggunakan Akun Alibaba Cloud A.

    2. Buat kebijakan kustom untuk memberikan izin membaca data dari Logstore.

      Anda dapat menggunakan otorisasi pencocokan tepat atau otorisasi pencocokan wildcard.

      Exact match

      Penting

      Ganti Project name dan Logstore name dalam isi kebijakan sesuai kebutuhan bisnis Anda. 

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:GetCursorOrData",
                "log:ListShards"
            ],
            "Resource":[
                "acs:log:*:*:project/your-project-name/logstore/your-logstore-name"
            ],
            "Effect":"Allow"
        }
    ]
}

      Wildcard match

      Penting

      • Sebagai contoh, gunakan otorisasi wildcard match jika Anda memiliki beberapa proyek dan Logstore dengan nama serupa, seperti log-project-dev-a dan log-project-dev-b, atau website_a_log dan website_b_log.

      • Dalam kebijakan, ganti log-project-dev-* dan website_*_log* agar sesuai dengan nama proyek dan Logstore Anda.

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:GetCursorOrData",
                "log:ListShards"
            ],
            "Resource":[
                "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log*"
            ],
            "Effect":"Allow"
        }
    ]
}

    3. Buat RAM role bernama role-a. Untuk informasi selengkapnya, lihat Buat RAM role untuk layanan Alibaba Cloud tepercaya.

      Penting

      • Saat membuat RAM role, atur Principal Type ke Cloud Service, dan Principal Name ke Simple Log Service.

      • Periksa kebijakan kepercayaan RAM role tersebut. Pastikan elemen Service berisi setidaknya "log.aliyuncs.com". 

        {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "log.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    4. Lampirkan kebijakan kustom ke RAM role role-a. Untuk informasi selengkapnya, lihat Berikan izin ke RAM role.

    Langkah berikutnya

    Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari RAM role tersebut. Untuk informasi selengkapnya, lihat Lihat detail RAM role.

    Saat membuat pekerjaan pengiriman data OSS, masukkan ARN ini ke parameter RAM Role for Reading Logstore jika Anda memilih Custom Role. Untuk informasi selengkapnya, lihat Buat pekerjaan pengiriman data OSS (versi baru).ARN

    Langkah 2: Berikan akses tulis ke RAM role role-b

    Memberikan izin kepada RAM role role-b di akun B untuk menulis ke bucket OSS memungkinkan pekerjaan pengiriman data OSS mengasumsikan role ini dan mengirim data ke bucket di akun B.

    1. Masuk ke RAM console menggunakan Akun Alibaba Cloud B.

    2. Buat kebijakan kustom untuk memberikan izin menulis ke bucket OSS.

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
      Catatan

      Untuk kontrol izin OSS yang lebih granular, lihat Kebijakan RAM.

    3. Buat RAM role bernama role-b. Untuk informasi selengkapnya, lihat Buat RAM role untuk layanan Alibaba Cloud tepercaya.

      Penting

      • Saat membuat RAM role, atur Principal Type ke Cloud Service, dan Principal Name ke Simple Log Service.

      • Periksa kebijakan kepercayaan RAM role tersebut. Pastikan elemen Service berisi setidaknya "log.aliyuncs.com". 

        {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "log.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    4. Ubah kebijakan kepercayaan RAM role role-b. Untuk informasi selengkapnya, lihat Edit kebijakan kepercayaan RAM role.

      Penting

      Tambahkan ACCOUNT_A_ID@log.aliyuncs.com ke daftar Service dalam objek Principal pada kebijakan kepercayaan. Ganti ACCOUNT_A_ID dengan ID Akun Alibaba Cloud A. Anda dapat menemukan ID akun Anda di Account Center.

      Dengan kebijakan ini, pihak yang berwenang di Akun Alibaba Cloud A dapat menggunakan Simple Log Service untuk mendapatkan kredensial sementara guna mengakses resource di Akun Alibaba Cloud B.

      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "log.aliyuncs.com",
                    "ACCOUNT_A_ID@log.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

    5. Lampirkan kebijakan kustom ke RAM role role-b. Untuk informasi selengkapnya, lihat Berikan izin ke RAM role.

    Langkah berikutnya

    Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari RAM role tersebut. Untuk informasi selengkapnya, lihat Lihat detail RAM role.

    Saat membuat pekerjaan pengiriman data OSS, masukkan ARN ini ke parameter RAM Role for Writing to OSS jika Anda memilih Custom Role. Untuk informasi selengkapnya, lihat Buat pekerjaan pengiriman data OSS (versi baru).

    ARN