Kebijakan kustom untuk Simple Log Service - Simple Log Service

Jika kebijakan sistem tidak memenuhi persyaratan bisnis Anda, Anda dapat membuat kebijakan kustom. Ikuti prinsip hak istimewa minimal (PoLP) untuk membuat kebijakan ini. Kebijakan kustom membantu mengelola izin secara lebih rinci dan meningkatkan keamanan akses sumber daya. Topik ini menjelaskan skenario penggunaan kebijakan kustom untuk Simple Log Service serta menyediakan contoh kebijakan.

Apa itu kebijakan kustom?

Kebijakan Resource Access Management (RAM) terbagi menjadi kebijakan sistem dan kebijakan kustom. Anda dapat mengelola kebijakan kustom sesuai dengan kebutuhan bisnis Anda.

Setelah membuat kebijakan kustom, lampirkan kebijakan tersebut ke pengguna RAM, grup pengguna RAM, atau peran RAM agar izin yang ditentukan dalam kebijakan diberikan kepada entitas utama.
Anda dapat menghapus kebijakan RAM yang tidak dilampirkan ke entitas utama. Jika kebijakan RAM telah dilampirkan, lepaskan terlebih dahulu dari entitas utama sebelum menghapusnya.
Kebijakan kustom mendukung kontrol versi. Anda dapat mengelola versi kebijakan menggunakan mekanisme manajemen versi yang disediakan oleh RAM.

Referensi

Skema dan contoh kebijakan

Penting

Semua kebijakan dalam topik ini dapat digunakan untuk memberikan izin kepada pengguna Resource Access Management (RAM) dalam mengakses Metricstore.
Untuk alasan keamanan, ikuti PoLP saat memberikan izin kepada pengguna RAM. Dalam banyak kasus, berikan izin baca-saja pada daftar proyek agar pengguna RAM dapat melihat proyek-proyek dalam daftar. Untuk informasi lebih lanjut, lihat Lampirkan kebijakan sistem ke pengguna RAM dan Buat kebijakan kustom.

The permissions to view projects

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada pengguna RAM:

Izin untuk melihat daftar proyek dalam akun Alibaba Cloud.

Contoh kebijakan berikut memberikan izin yang disebutkan di atas:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": [
        "acs:log:*:*:project/*"
      ],
      "Effect": "Allow"
    }
  ]
}

The read-only permissions on projects

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada pengguna RAM:

Izin untuk melihat daftar proyek dalam akun Alibaba Cloud.
Izin baca-saja pada proyek tertentu dalam akun Alibaba Cloud.

Catatan

Pemberian izin baca-saja pada proyek tidak memungkinkan pengguna RAM melihat log dalam proyek. Berikan juga izin baca-saja pada Logstore dalam proyek tersebut.

Contoh kebijakan berikut memberikan izin yang disebutkan di atas:

{
   "Version": "1",
   "Statement": [
     {
       "Action": ["log:ListProject"],
       "Resource": ["acs:log:*:*:project/*"],
       "Effect": "Allow"
      },
     {
       "Action": [
         "log:Get*",
         "log:List*"
       ],
       "Resource": "acs:log:*:*:project/<Project name>/*",
       "Effect": "Allow"
     }
   ]
 }

The read-only permissions on a specific Logstore and the permissions to create and manage saved searches

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada pengguna RAM:

Izin untuk melihat daftar proyek dalam akun Alibaba Cloud.
Izin baca-saja pada Logstore tertentu dan izin untuk membuat serta mengelola pencarian tersimpan.

Contoh kebijakan berikut memberikan izin yang disebutkan di atas:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<Project name>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/logstore/<Logstore name>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/dashboard",
        "acs:log:*:*:project/<Project name>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Create*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/savedsearch",
        "acs:log:*:*:project/<Project name>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

The read-only permissions on a specific Logstore and the permissions to view all saved searches and dashboards in the project to which the Logstore belongs

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada pengguna RAM:

Izin untuk melihat daftar proyek dalam akun Alibaba Cloud.
Izin baca-saja pada Logstore tertentu dan izin untuk melihat semua pencarian tersimpan serta dasbor dalam proyek tempat Logstore tersebut berada.

Contoh kebijakan berikut memberikan izin yang disebutkan di atas:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<Project name>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/logstore/<Logstore name>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/dashboard",
        "acs:log:*:*:project/<Project name>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/savedsearch",
        "acs:log:*:*:project/<Project name>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

The permissions to write data to a specific project

Contoh kebijakan berikut hanya memberikan izin kepada pengguna RAM untuk menulis data ke proyek tertentu:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
      "Resource": "acs:log:*:*:project/<Project name>/*",
      "Effect": "Allow"
    }
  ]
}

The permissions to write data to a specific Logstore

Contoh kebijakan berikut hanya memberikan izin kepada pengguna RAM untuk menulis data ke Logstore tertentu:

{
  "Version":"1",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "log:PostLogStoreLogs"
      ],
      "Resource":[
        "acs:log:*:*:project/<Project name>/logstore/<Logstore name>"
      ]
    }
  ]
}

The permissions to consume data from a specific project

Contoh kebijakan berikut hanya memberikan izin kepada pengguna RAM untuk mengonsumsi data dari proyek tertentu:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": "acs:log:*:*:project/<Project name>/*",
      "Effect": "Allow"
    }
  ]
}

The permissions to consume data from a specific Logstore

Contoh kebijakan berikut hanya memberikan izin kepada pengguna RAM untuk mengonsumsi data dari Logstore tertentu:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/logstore/<Logstore name>",
        "acs:log:*:*:project/<Project name>/logstore/<Logstore name>/*"
      ],
      "Effect": "Allow"
    }
  ]
}

The permissions to forcefully enable encryption configuration for a specific Logstore

Setelah memberikan izin kepada pengguna RAM untuk secara paksa mengaktifkan konfigurasi enkripsi pada Logstore tertentu, pengguna RAM harus mengaktifkan konfigurasi enkripsi saat membuat atau memodifikasi Logstore. Pengguna RAM tanpa izin ini tidak wajib mengaktifkan konfigurasi enkripsi.

Catatan

Anda dapat menentukan nama proyek dan nama Logstore yang tepat atau menggunakan tanda asterisk (*) untuk pencocokan kabur.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateLogStore",
        "log:UpdateLogStore"
      ],
      "Resource": [
        "acs:log:*:*:project/<Project name>/logstore/<Logstore name>",
        "acs:log:*:*:project/<Project name>/logstore/*"
      ],
      "Condition": {
        "Bool": {
          "log:Encrypted": "true"
        }
      }
    }
  ]
}

The permissions to use specific log applications

Untuk mengizinkan pengguna RAM menggunakan aplikasi log atau fitur berikut, berikan izin yang diperlukan kepada pengguna RAM:

Audit Basis Data Umum
Pemantauan O&M Seluler
Pusat Log Aliran
Analisis Log untuk AWS CloudTrail
SREWorks
Audit Host Umum
Analisis Anomali Cerdas
Dasbor kustom
Daftar putar dasbor

Gunakan salah satu kebijakan berikut sesuai dengan kebutuhan bisnis Anda:

Izin baca-saja

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetResource",
                "log:ListResources",
                "log:GetResourceRecord",
                "log:ListResourceRecords"
            ],
            "Resource": [
                "acs:log:*:*:resource/*"
            ]
        }
    ]
}

Izin manajemen

{
    "Version": "1",
    "Statement": [
          {
      "Effect": "Allow",
      "Action": [
        "log:*"
      ],
      "Resource": [
        "acs:log:*:*:resource/*"
      ]
    }
    ]
}

Referensi

Sebelum membuat kebijakan kustom, pastikan Anda memahami persyaratan bisnis dan informasi otorisasi Simple Log Service. Untuk informasi lebih lanjut, lihat Otorisasi RAM.