Untuk memantau data di seluruh proyek, wilayah, atau akun Alibaba Cloud berdasarkan aturan peringatan, Simple Log Service harus mengasumsikan Peran RAM (Resource Access Management) untuk mengakses Logstore atau Metricstore yang diperlukan. Dalam hal ini, Anda harus memberikan izin yang diperlukan kepada Peran RAM.
Skenario
Metode otorisasi | Skenario |
Use the default authorization method | Jika Anda menggunakan aturan peringatan yang dikonfigurasikan untuk sebuah proyek untuk memantau data dalam Logstore dan Metricstore yang berbeda dari proyek tersebut, Anda dapat menggunakan metode otorisasi default. |
Use a built-in role | Jika Anda menggunakan aturan peringatan yang dikonfigurasikan untuk sebuah proyek untuk memantau data dalam Logstore dan Metricstore dari proyek lain dalam akun Alibaba Cloud yang sama, Anda dapat menetapkan peran bawaan ke Simple Log Service. |
Use a custom role | Jika Anda menggunakan aturan peringatan untuk memantau data di seluruh akun Alibaba Cloud, Anda dapat menetapkan peran kustom ke Simple Log Service. Dalam hal ini, Anda dapat memberikan izin terperinci kepada Peran RAM. |
Langkah 1: Konfigurasikan otorisasi
Tentukan pernyataan kueri. Untuk informasi lebih lanjut, lihat Buat Aturan Peringatan.
Konfigurasikan metode otorisasi.
Gunakan metode otorisasi default
Jika Anda menggunakan aturan peringatan yang dikonfigurasikan untuk sebuah proyek untuk memantau data dalam Logstore dan Metricstore yang berbeda dari proyek tersebut, Anda dapat menggunakan metode otorisasi default.
Pada tab Advanced Settings, pilih Default dari daftar drop-down Authorization.
Gunakan peran bawaan
Jika Anda menggunakan aturan peringatan untuk memantau data dalam Logstore dan Metricstore yang berbeda di beberapa proyek dalam akun Alibaba Cloud, Anda dapat menetapkan built-in role ke Simple Log Service.
Pada tab Advanced Settings, pilih Built-in Role dari daftar drop-down Authorization. Jika ini adalah pertama kalinya Anda mengonfigurasi otorisasi, Anda harus menggunakan akun Alibaba Cloud untuk menyelesaikan otorisasi pada halaman Otorisasi Akses Sumber Daya Cloud. Untuk informasi lebih lanjut, lihat Otorisasi Akses Sumber Daya Cloud. Setelah otorisasi selesai, Simple Log Service membuat Peran RAM bernama
AliyunSLSAlertMonitorRole. Kemudian, Simple Log Service dapat mengasumsikan Peran RAM untuk membaca data dari Logstore yang ditentukan.
Gunakan peran kustom (dalam akun Alibaba Cloud)
Jika Anda menggunakan aturan peringatan untuk memantau data dalam Logstore atau Metricstore yang berbeda di beberapa proyek dalam akun Alibaba Cloud, Anda dapat menetapkan custom role ke Simple Log Service.
Buat Peran RAM yang entitas tepercayanya adalah layanan Alibaba Cloud. Pilih Log Service dari daftar drop-down Pilih Layanan Tepercaya. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Layanan Tepercaya Alibaba Cloud.
Buat kebijakan kustom. Pada tab JSON halaman Buat Kebijakan, ganti skrip yang ada di editor kode dengan dokumen kebijakan berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.
PentingGanti Nama Proyek sesuai dengan kebutuhan bisnis Anda. Anda dapat memodifikasi kebijakan kustom untuk memberikan izin terperinci kepada Peran RAM. Sebagai contoh, jika Anda ingin memberikan peran izin untuk membuat aturan peringatan hanya dalam proyek tertentu, Anda dapat menentukan proyek dalam elemen
Resourcedari kebijakan kustom. Contoh:acs:log:*:*:project/my-project.{ "Statement": [ { "Action": [ "log:ListProject" ], "Effect": "Allow", "Resource": [ "acs:log:*:*:*" ] }, { "Action": [ "log:ListLogStores", "log:GetLogStoreLogs", "log:GetIndex" ], "Effect": "Allow", "Resource": [ "acs:log:*:*:project/Project name/*" ] } ], "Version": "1" }Lampirkan kebijakan kustom yang dibuat ke Peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.
Apa yang harus dilakukan selanjutnya
Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Peran RAM.
Masukkan ARN dari RAM role untuk menetapkan peran ke Simple Log Service. Untuk informasi lebih lanjut, lihat Buat Aturan Peringatan.
Gunakan peran kustom (di seluruh beberapa akun Alibaba Cloud)
Jika Anda menggunakan aturan peringatan untuk memantau data dalam Logstore atau Metricstore yang berbeda di beberapa akun Alibaba Cloud, Anda dapat menetapkan peran kustom ke Simple Log Service. Sebagai contoh, Anda dapat menggunakan Akun Alibaba Cloud A untuk membuat aturan peringatan dan menggunakan aturan peringatan untuk memantau data dalam Logstore atau Metricstore dari Akun Alibaba Cloud B.
Gunakan Akun Alibaba Cloud B untuk melakukan operasi berikut:
Buat Peran RAM yang entitas tepercayanya adalah layanan Alibaba Cloud. Pilih Log Service dari daftar drop-down Pilih Layanan Tepercaya. Untuk informasi lebih lanjut, lihat Buat Peran RAM untuk Layanan Tepercaya Alibaba Cloud.
Modifikasi kebijakan kepercayaan dari Peran RAM. Untuk informasi lebih lanjut, lihat Edit Kebijakan Kepercayaan dari Peran RAM.
PentingGanti
ID Akun Alibaba Cloud Asesuai dengan kebutuhan bisnis Anda. Anda dapat melihat ID akun Alibaba Cloud Anda di pusat akun.{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "ID of Alibaba Cloud Account A@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }Buat kebijakan kustom. Pada tab JSON halaman Buat Kebijakan, ganti skrip yang ada di editor kode dengan dokumen kebijakan berikut. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom pada Tab JSON.
PentingGanti skrip yang ada di editor kode dengan dokumen kebijakan berikut. Ganti Nama Proyek sesuai dengan kebutuhan bisnis Anda. Anda dapat memodifikasi kebijakan kustom untuk memberikan izin terperinci kepada Peran RAM. Sebagai contoh, jika Anda ingin memberikan peran izin untuk membuat aturan peringatan hanya dalam proyek tertentu, Anda dapat menentukan proyek dalam elemen
Resourcedari kebijakan kustom. Contoh:acs:log:*:*:project/my-project.{ "Statement": [ { "Action": [ "log:ListProject" ], "Effect": "Allow", "Resource": [ "acs:log:*:*:*" ] }, { "Action": [ "log:ListLogStores", "log:GetLogStoreLogs", "log:GetIndex" ], "Effect": "Allow", "Resource": [ "acs:log:*:*:project/Project name/*" ] } ], "Version": "1" }Lampirkan kebijakan kustom yang dibuat ke Peran RAM. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Peran RAM.
Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Peran RAM.
Apa yang harus dilakukan selanjutnya
Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM. Untuk informasi lebih lanjut, lihat Lihat Informasi tentang Peran RAM.
Saat Anda menggunakan Akun Alibaba Cloud A untuk membuat aturan peringatan, pilih Custom Role dari daftar drop-down Otorisasi dan masukkan ARN of the RAM role yang dibuat untuk Akun Alibaba Cloud B. Untuk informasi lebih lanjut, lihat Buat Aturan Peringatan.
Langkah 2: Berikan izin kepada pengguna RAM
Setelah Anda menetapkan peran built-in atau custom ke Simple Log Service, Anda harus menggunakan akun Alibaba Cloud Anda untuk melampirkan kebijakan berikut ke pengguna RAM yang ingin Anda gunakan untuk menanyakan data dalam Metricstore atau Logstore. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.
{
"Action": "ram:PassRole",
"Effect": "Allow",
"Resource": "acs:ram::ID of Alibaba Cloud Account:Role ARN"
}