全部产品
Search

搜索本产品

    Simple Log Service:Aturan otorisasi

    文档中心

    Simple Log Service:Aturan otorisasi

    更新时间:Jul 06, 2025

    Layanan Log Sederhana memungkinkan Anda menggunakan kebijakan Resource Access Management (RAM) untuk melakukan otorisasi pengguna RAM, otorisasi peran RAM, otentikasi berbasis tag, dan otorisasi akses lintas layanan. Topik ini menjelaskan elemen kebijakan yang didefinisikan oleh Layanan Log Sederhana, seperti Action dan Resource. Anda dapat mengonfigurasi kebijakan untuk kontrol akses yang lebih rinci.

    Kebijakan

    Kebijakan mendefinisikan serangkaian izin berdasarkan struktur dan sintaksis tertentu. Anda dapat menggunakan kebijakan untuk menentukan set sumber daya yang diizinkan, set operasi yang diizinkan, serta kondisi otorisasi. Untuk informasi lebih lanjut tentang elemen kebijakan, struktur, dan sintaksisnya, lihat Elemen Dasar dari Kebijakan dan Struktur dan Sintaksis Kebijakan.

    RAM mendukung dua jenis kebijakan:

    • Kebijakan sistem: Dibuat dan dikelola oleh Alibaba Cloud. Anda dapat menggunakan kebijakan ini tetapi tidak dapat memodifikasinya.

    • Kebijakan kustom: Dapat dibuat, dimodifikasi, dihapus, dan ditingkatkan sesuai kebutuhan bisnis Anda.

    Anda dapat melampirkan satu atau lebih kebijakan ke identitas RAM. Untuk informasi lebih lanjut, lihat Memberikan Izin kepada Pengguna RAM, Memberikan Izin kepada Grup Pengguna RAM, dan Memberikan Izin kepada Peran RAM.

    Elemen kebijakan

    Untuk informasi lebih lanjut tentang konsep dan sintaksis kebijakan, lihat Elemen Dasar dari Kebijakan.

    Nama elemen

    Deskripsi

    Effect

    Efek otorisasi. Nilai valid:

    • Mengizinkan

    • Tolak

    Action/NotAction

    Menggambarkan satu atau lebih operasi API yang diizinkan atau ditolak. Anda hanya dapat menentukan salah satu elemen berikut dalam pernyataan kebijakan:

    • Action: operasi tertentu yang diizinkan atau ditolak.

    • NotAction: operasi tertentu yang dikecualikan saat operasi diizinkan atau ditolak. Ini berarti bahwa kecuali untuk operasi yang ditentukan oleh NotAction, semua operasi lainnya diizinkan atau ditolak.

    Resource

    Menentukan satu atau lebih objek yang dicakup oleh pernyataan.

    Condition

    Menentukan kondisi yang diperlukan agar kebijakan berlaku.

    Principal

    Menentukan pihak utama yang diizinkan atau ditolak akses ke suatu sumber daya. Elemen ini hanya tersedia untuk kebijakan berbasis sumber daya, seperti kebijakan kepercayaan yang menentukan entitas tepercaya untuk mengasumsikan Peran RAM.

    Prosedur

    1. Buat Administrator Akun.

      Akun Alibaba Cloud memiliki izin penuh atas semua sumber daya dalam akun tersebut. Anda tidak dapat memberlakukan batasan seperti pembatasan alamat IP sumber atau periode waktu akses menggunakan akun Alibaba Cloud. Jika akun ini digunakan bersama oleh beberapa pengguna, Anda tidak dapat mengidentifikasi pengguna tertentu dalam log audit. Jika akun terungkap, risiko keamanan mungkin timbul. Oleh karena itu, kami merekomendasikan agar Anda tidak menggunakan akun Alibaba Cloud untuk operasi harian.

      Anda dapat menggunakan akun Alibaba Cloud untuk membuat pengguna RAM di RAM dan melampirkan kebijakan AdministratorAccess ke pengguna RAM. Kemudian, gunakan pengguna RAM sebagai administrator akun untuk mengelola semua sumber daya cloud milik akun Alibaba Cloud. Anda juga dapat menggunakan administrator akun untuk membuat beberapa pengguna RAM dengan kontrol akses yang sesuai.

    2. Buat Kebijakan Kustom.

      RAM menyediakan dua jenis kebijakan: kebijakan sistem dan kebijakan kustom. Kebijakan sistem dibuat dan diperbarui oleh Alibaba Cloud. Anda dapat menggunakan kebijakan sistem tetapi tidak dapat memodifikasinya. Jika kebijakan sistem tidak memenuhi persyaratan Anda, Anda dapat membuat kebijakan kustom untuk kontrol akses yang lebih rinci.

    3. Buat pengguna RAM atau peran RAM dan berikan izin yang diperlukan.

      • Buat Pengguna RAM dan Berikan Izin kepada Pengguna.

        Anda dapat membuat pengguna RAM dan memberikan izin kepada mereka untuk mengakses sumber daya yang berbeda.

        Jika beberapa pengguna di perusahaan Anda perlu mengakses sumber daya, Anda dapat menggunakan RAM untuk menetapkan izin sesuai dengan prinsip hak istimewa minimal. Ini mencegah pengguna berbagi nama pengguna dan kata sandi atau pasangan AccessKey dari akun Alibaba Cloud, sehingga mengurangi risiko keamanan.

      • Buat Grup Pengguna RAM dan Berikan Izin kepada Grup.

        Grup pengguna RAM adalah identitas fisik. Anda dapat membuat grup pengguna RAM untuk mengklasifikasikan pengguna RAM dan memberikan izin kepada pengguna dengan tanggung jawab yang sama. Ini menyederhanakan manajemen pengguna RAM dan izin mereka.

      • Buat Peran RAM dan Lampirkan Kebijakan yang Diperlukan ke Peran.

        Peran RAM adalah identitas virtual yang dapat dilampiri kebijakan. Peran RAM tidak memiliki kredensial permanen, seperti kata sandi logon atau pasangan AccessKey. Peran RAM hanya dapat digunakan setelah diasumsikan oleh entitas tepercaya. Setelah diasumsikan, entitas tepercaya dapat memperoleh Token Layanan Keamanan (STS). Entitas tepercaya kemudian dapat menggunakan token STS untuk mengakses sumber daya Alibaba Cloud sebagai peran RAM. Untuk informasi lebih lanjut tentang cara menggunakan peran RAM, lihat Asumsikan Peran RAM.

    Action

    Elemen Action berada dalam format log:${API name}. ${API name} menentukan nama operasi API Layanan Log Sederhana. Untuk informasi lebih lanjut tentang operasi API yang disediakan oleh Layanan Log Sederhana, lihat Daftar Operasi Berdasarkan Fungsi.

    Saat membuat kebijakan, pisahkan beberapa tindakan dengan koma (,). Anda dapat menggunakan tanda bintang (*) sebagai karakter wildcard. Contoh: log:Create*. Create* mencakup nama operasi API yang dimulai dengan Create, seperti CreateProduct, CreateThingModel, dan CreateProductTopic.

    Penting

    Jika Anda ingin memberikan izin pada operasi GetCursor atau GetCursorTime, Anda harus menentukan log:GetCursorOrData untuk elemen Action saat membuat kebijakan.

    Resource

    Sumber daya dalam Layanan Log Sederhana diatur dalam hierarki. Proyek adalah sumber daya root. Penyimpanan log, konfigurasi Logtail, dan grup mesin adalah sub-sumber daya paralel dari proyek. Pekerjaan pengiriman log dan grup konsumen adalah sub-sumber daya dari penyimpanan log.

    Jenis sumber daya

    ARN

    Project

    acs:log:${regionName}:${uid}:project/${projectName}

    acs:log:${regionName}:${uid}:project/*

    Project:Logstore

    acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}

    acs:log:${regionName}:${uid}:project/${projectName}/logstore/*

    Project:Logstore:Shipper

    acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/shipper/${shipperName}

    acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/shipper/*

    Project:Config

    acs:log:${regionName}:${uid}:project/${projectName}/logtailconfig/${logtailConfigName}

    acs:log:${regionName}:${uid}:project/${projectName}/logtailconfig/*

    Project:MachineGroup

    acs:log:${regionName}:${uid}:project/${projectName}/machinegroup/${machineGroupName}

    acs:log:${regionName}:${uid}:project/${projectName}/machinegroup/*

    Project:ConsumerGroup

    acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/${consumerGroupName}

    acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/*

    Project:SavedSearch

    acs:log:${regionName}:${uid}:project/${projectName}/savedsearch/${savedSearchName}

    acs:log:${regionName}:${uid}:project/${projectName}/savedsearch/*

    Project:Dashboard

    acs:log:${regionName}:${uid}:project/${projectName}/dashboard/${dashboardName}

    acs:log:${regionName}:${uid}:project/${projectName}/dashboard/*

    Project:Alarm

    acs:log:${regionName}:${uid}:project/${projectName}/alert/${alarmName}

    acs:log:${regionName}:${uid}:project/${projectName}/alert/*

    Semua jenis sumber daya

    acs:log:${regionName}:${uid}:*

    acs:log:*:${uid}:*

    Parameter

    Parameter

    Deskripsi

    ${regionName}

    Nama wilayah.

    ${uid}

    ID akun Alibaba Cloud.

    ${projectName}

    Nama proyek.

    ${logstoreName}

    Nama penyimpanan log.

    ${logtailconfig}

    Nama konfigurasi Logtail.

    ${machineGroupName}

    Nama grup mesin.

    ${shipperName}

    Nama pekerjaan pengiriman log.

    ${consumerGroupName}

    Nama grup konsumen.

    ${savedSearchName}

    Nama pencarian tersimpan.

    ${dashboardName}

    Nama dashboard.

    ${alarmName}

    Nama aturan peringatan.