All Products
Search
Document Center

Simple Log Service:Konfigurasikan otorisasi untuk pemantauan data lintas proyek

Last Updated:Jun 17, 2026

Saat aturan alert memantau data lintas proyek, Wilayah, atau Akun Alibaba Cloud, Simple Log Service harus mengasumsikan Peran RAM untuk mengakses Logstore atau Metricstore target. Anda harus memberikan izin yang diperlukan kepada peran tersebut.

Skenario

Metode otorisasi

Skenario

Default

Pantau Logstore dan Metricstore berbeda dalam proyek yang sama menggunakan metode otorisasi default.

Use a built-in role

Pantau Logstore dan Metricstore lintas proyek berbeda dalam satu Akun Alibaba Cloud yang sama.

Custom Role

Pantau Logstore atau Metricstore lintas Akun Alibaba Cloud yang berbeda. Metode ini menyediakan kontrol izin detail halus.

Langkah 1: Konfigurasikan otorisasi

  1. Tentukan pernyataan kueri. Untuk informasi selengkapnya, lihat Buat aturan alert.

  2. Konfigurasikan metode otorisasi.

    Gunakan metode otorisasi default

    Untuk memantau Logstore dan Metricstore berbeda dalam satu Proyek yang sama, gunakan metode otorisasi Default.

    Pada tab Advanced Settings, atur Authorization Method ke Default.

    Gunakan built-in role

    Untuk memantau Logstore dan Metricstore lintas beberapa proyek dalam satu Akun Alibaba Cloud, tetapkan built-in role ke Simple Log Service.

    Pada tab Advanced Settings, atur Authorization Method ke Built-in Role. Jika ini pertama kalinya, gunakan Pemilik Akun Alibaba Cloud untuk menyelesaikan otorisasi sesuai prompt. Setelah otorisasi, Simple Log Service membuat Peran RAM bernama AliyunSLSAlertMonitorRole dan mengasumsikan peran tersebut untuk membaca data dari Logstore sumber.

    Gunakan Custom Role (dalam satu Akun Alibaba Cloud)

    Untuk memantau Logstore atau Metricstore berbeda dalam satu Akun Alibaba Cloud yang sama, Anda dapat menggunakan Custom Role.

    1. Buat Peran RAM untuk layanan Alibaba Cloud tepercaya, lalu pilih Simple Log Service sebagai layanan tepercaya.

    2. Buat kebijakan kustom. Pada tab JSON halaman Create Policy, ganti skrip yang ada di editor kode dengan isi kebijakan berikut. Untuk informasi selengkapnya, lihat Menggunakan editor skrip.

      Penting

      Ganti ProjectName dalam skrip berikut dengan nama Proyek Anda yang sebenarnya. Untuk izin yang lebih granular, seperti hanya mengizinkan pembuatan aturan alert dalam Proyek tertentu, Anda dapat menentukan Proyek tersebut dalam elemen Resource kebijakan, misalnya acs:log:*:*:project/my-project.

      {
        "Statement": [
          {
            "Action": [
              "log:ListProject"
            ],
            "Effect": "Allow",
            "Resource": [
              "acs:log:*:*:*"
            ]
          },
          {
            "Action": [
              "log:ListLogStores",
              "log:GetLogStoreLogs",
              "log:GetIndex"
            ],
            "Effect": "Allow",
            "Resource": [
              "acs:log:*:*:project/Nama Proyek/*"
            ]
          }
        ],
        "Version": "1"
      }
    3. Sambungkan kebijakan kustom yang telah dibuat ke Peran RAM. Untuk informasi selengkapnya, lihat Kelola izin untuk Peran RAM.

    Langkah selanjutnya

    1. Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM tersebut. Untuk informasi selengkapnya, lihat Lihat Peran RAM.

    2. Saat menggunakan otorisasi Custom Role, masukkan ARN Peran RAM tersebut. Untuk informasi selengkapnya, lihat Buat aturan alert.

      Pada tab Advanced Settings, atur Authorization method ke Custom Role, lalu masukkan ARN tersebut ke dalam kotak input Role ARN.

    Gunakan Custom Role (lintas multiple Akun Alibaba Cloud)

    Untuk memantau Logstore atau Metricstore lintas beberapa Akun Alibaba Cloud, tetapkan custom role ke Simple Log Service. Misalnya, Anda dapat membuat aturan alert di Akun A yang memantau data di Logstore atau Metricstore milik Akun B.

    Gunakan Akun Alibaba Cloud B untuk melakukan langkah-langkah berikut:

    1. Buat Peran RAM untuk layanan Alibaba Cloud tepercaya, lalu pilih Simple Log Service sebagai layanan tepercaya.

    2. Ubah kebijakan kepercayaan Peran RAM tersebut. Untuk informasi selengkapnya, lihat Edit kebijakan kepercayaan Peran RAM.

      Penting

      Ganti ID Akun Alibaba Cloud A dengan ID akun A. Anda dapat menemukan ID akun di pusat akun.

      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "ID Akun Alibaba Cloud A@log.aliyuncs.com",
                          "log.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }
    3. Buat kebijakan kustom. Pada tab JSON halaman Create Policy, ganti skrip yang ada di editor kode dengan isi kebijakan berikut. Untuk informasi selengkapnya, lihat Menggunakan editor skrip.

      Penting

      Ganti ProjectName dengan nama Proyek Anda yang sebenarnya. Untuk izin yang lebih granular, seperti hanya mengizinkan pembuatan aturan alert dalam Proyek tertentu, Anda dapat menentukan Proyek tersebut dalam elemen Resource kebijakan, misalnya acs:log:*:*:project/my-project.

      {
        "Statement": [
          {
            "Action": [
              "log:ListProject"
            ],
            "Effect": "Allow",
            "Resource": [
              "acs:log:*:*:*"
            ]
          },
          {
            "Action": [
              "log:ListLogStores",
              "log:GetLogStoreLogs",
              "log:GetIndex"
            ],
            "Effect": "Allow",
            "Resource": [
              "acs:log:*:*:project/Nama Proyek/*"
            ]
          }
        ],
        "Version": "1"
      }
    4. Sambungkan kebijakan kustom yang telah dibuat ke Peran RAM. Untuk informasi selengkapnya, lihat Kelola izin untuk Peran RAM.

    5. Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM tersebut. Untuk informasi selengkapnya, lihat Lihat Peran RAM.

    Langkah selanjutnya

    1. Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari Peran RAM tersebut. Untuk informasi selengkapnya, lihat Lihat Peran RAM.

    2. Saat membuat aturan alert di Akun Alibaba Cloud A, pilih Custom Role untuk otorisasi dan masukkan ARN Peran RAM dari Akun Alibaba Cloud B ke dalam bidang Role ARN. Untuk informasi selengkapnya, lihat Buat aturan alert.

Langkah 2: Berikan izin kepada Pengguna RAM

Setelah Anda mengonfigurasi Built-in Role atau Custom Role, jika Pengguna RAM perlu melakukan kueri terhadap Metricstore atau Logstore, Pemilik Akun Alibaba Cloud harus menyambungkan kebijakan izin berikut ke Pengguna RAM tersebut agar dapat meneruskan peran. Untuk informasi selengkapnya, lihat Kelola izin untuk Pengguna RAM.

{
     "Action": "ram:PassRole",
     "Effect": "Allow",
     "Resource": "acs:ram::ID Akun Alibaba Cloud:Role ARN"
 }