Otorisasi RAM user untuk Log Audit Service-Simple Log Service-Alibaba Cloud

Topik ini menjelaskan cara memberikan izin kepada pengguna Resource Access Management (RAM) untuk melakukan operasi pada Log Audit Service.

Prasyarat

Pengguna RAM telah dibuat. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

Informasi latar belakang

Anda dapat memberikan izin kepada pengguna RAM untuk melakukan operasi pada Log Audit Service dalam salah satu mode berikut:

Mode Sederhana: Anda dapat memberikan semua izin pada Layanan Log Sederhana kepada pengguna RAM tanpa perlu mengonfigurasi parameter.
Mode Kustom: Anda dapat membuat kebijakan kustom dan melampirkannya ke pengguna RAM. Mode ini memungkinkan kontrol akses yang lebih rinci, namun konfigurasinya lebih kompleks.

Mode sederhana

Masuk ke Konsol RAM menggunakan akun Alibaba Cloud Anda. Kemudian, lampirkan kebijakan AliyunLogFullAccess dan AliyunRAMFullAccess kepada pengguna RAM. Dengan cara ini, pengguna RAM memiliki semua izin pada Layanan Log Sederhana. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

Mode kustom

Masuk ke Konsol RAM.

Buat kebijakan.

Di panel navigasi di sebelah kiri, pilih Permissions > Policies.
Di halaman Kebijakan, klik Create Policy.

Di halaman Create Policy, klik tab JSON, ganti skrip yang ada di editor kode dengan salah satu skrip berikut, lalu klik Next to edit policy information.

Anda dapat memberikan izin baca saja atau izin baca dan tulis pada Log Audit Service kepada pengguna RAM.

Izin Baca Saja: Gunakan skrip berikut untuk mengizinkan pengguna RAM hanya melihat setiap halaman Log Audit Service.

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

Izin Baca dan Tulis: Gunakan skrip berikut untuk mengizinkan pengguna RAM melakukan semua operasi yang didukung oleh Log Audit Service. Sebagai contoh, pengguna RAM dapat diberi izin untuk memodifikasi konfigurasi global.

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp",
                "log:CreateApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*",
                "log:CreateJob",
                "log:UpdateJob",
                "log:CreateProject"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection",
                "log:OpenProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

Konfigurasikan parameter Name dan klik OK.
Dalam contoh ini, atur nama kebijakan menjadi log-slsaudit-policy.

Lampirkan kebijakan ke pengguna RAM.
1. Di panel navigasi di sebelah kiri, pilih Identities > Users.
2. Di halaman Pengguna, temukan pengguna RAM yang ingin Anda lampirkan kebijakan dan klik Add Permissions di kolom Tindakan.
3. Di bagian Policy dari panel Grant Permission, pilih Custom Policy. Kemudian, pilih kebijakan yang Anda buat di Langkah 2 dan klik Grant Permissions.
4. Verifikasi bahwa kebijakan telah dilampirkan ke pengguna RAM dan klik Close.