全部产品
Search

搜索本产品

    :Mengakses data dalam akun Alibaba Cloud menggunakan peran RAM kustom

    文档中心

    :Mengakses data dalam akun Alibaba Cloud menggunakan peran RAM kustom

    更新时间:Jul 02, 2025

    Saat menjalankan pekerjaan pengiriman data Object Storage Service (OSS), pekerjaan tersebut menarik data dari penyimpanan log dan mengirimkannya ke bucket OSS. Anda dapat mengizinkan pekerjaan ini menggunakan peran Resource Access Management (RAM) kustom untuk mengakses data yang diperlukan. Topik ini menjelaskan cara memberikan izin kepada pekerjaan pengiriman data OSS untuk mengakses data menggunakan peran RAM kustom.

    Prasyarat

    Peran RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Layanan Tepercaya Alibaba Cloud.

    Penting

    • Saat membuat peran RAM, atur Principal Type menjadi Cloud Service, dan Principal Name menjadi Simple Log Service.

    • Periksa kebijakan kepercayaan dari peran RAM. Pastikan elemen Service berisi setidaknya "log.aliyuncs.com".

      {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "log.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    Langkah 1: Berikan peran RAM izin untuk membaca data dari penyimpanan log

    Setelah memberikan peran RAM izin untuk membaca data dari penyimpanan log, Anda dapat menetapkan peran RAM kepada pekerjaan pengiriman data OSS untuk membaca data dari penyimpanan log.

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM dengan hak administratif.

    2. Buat kebijakan kustom yang memberikan izin untuk membaca data dari Logstore.

      Anda dapat menggunakan dokumen kebijakan dengan kecocokan tepat atau kecocokan kabur untuk otorisasi.

      Kecocokan tepat untuk otorisasi

      Pada halaman Create Policy, klik tab JSON. Ganti isi yang ada di editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.

      Penting

      Ganti Nama Proyek dan Nama Logstore dalam dokumen kebijakan sesuai dengan kebutuhan bisnis Anda.

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:GetCursorOrData",
                "log:ListShards"
            ],
            "Resource":[
                "acs:log:*:*:project/Nama Proyek/logstore/Nama Logstore"
            ],
            "Effect":"Allow"
        }
    ]
}

      Kecocokan kabur untuk otorisasi

      Pada halaman Create Policy, klik tab JSON. Ganti isi yang ada di editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.

      Penting

      • Dalam contoh ini, nama proyek adalah log-project-dev-a, log-project-dev-b, dan log-project-dev-c, serta nama Logstore adalah website_a_log, website_b_log, dan website_c_log.

      • Ganti log-project-dev-* dan website_*_log* dalam dokumen kebijakan sesuai dengan kebutuhan bisnis Anda.

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:GetCursorOrData",
                "log:ListShards"
            ],
            "Resource":[
                "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log*"
            ],
            "Effect":"Allow"
        }
    ]
}

    3. Lampirkan kebijakan kustom yang telah dibuat ke peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.

    Langkah 2: Berikan peran RAM izin untuk menulis data ke bucket OSS

    Setelah memberikan peran RAM izin untuk menulis data ke bucket OSS, Anda dapat menetapkan peran RAM kepada pekerjaan pengiriman data OSS untuk menulis data yang dibaca dari penyimpanan log ke bucket OSS.

    1. Masuk ke Konsol RAM menggunakan akun Alibaba Cloud atau pengguna RAM dengan hak administratif.

    2. Buat kebijakan kustom yang memberikan izin untuk menulis data ke bucket OSS.

      Pada halaman Create Policy, klik tab JSON. Ganti isi yang ada di editor dengan skrip berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}
      Catatan

      Jika Anda ingin menerapkan kontrol akses yang lebih rinci pada sumber daya OSS, Anda dapat mengonfigurasi kebijakan berdasarkan petunjuk yang disediakan dalam Kebijakan RAM.

    3. Lampirkan kebijakan kustom yang telah dibuat ke peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.

    Apa yang harus dilakukan selanjutnya

    Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Peran RAM.

    Saat membuat pekerjaan pengiriman data OSS untuk mengirimkan data ke OSS, ARN diperlukan jika Anda memilih Custom Role untuk Logstore Read RAM Role atau OSS Write RAM Role. Untuk informasi lebih lanjut, lihat Buat Pekerjaan Pengiriman Data OSS (Versi Baru).