Konfigurasi kontrol akses RAM - Simple Log Service

Saat menggunakan Simple Log Service, Anda mungkin perlu mengonfigurasi izin akses yang berbeda untuk pengguna. Akun Alibaba Cloud dapat mengelola akses ke sumber daya Simple Log Service dengan menetapkan kebijakan izin di Resource Access Management (RAM). Topik ini menjelaskan izin yang diperlukan untuk berbagai fitur Simple Log Service.

Catatan

Jika Anda adalah Pengguna RAM, mintalah kebijakan izin dari pengguna akun Alibaba Cloud sesuai kebutuhan. Untuk operasi otorisasi, lihat Memberikan Izin kepada Pengguna RAM.

Kebijakan sistem

Kebijakan sistem dibuat dan dipelihara oleh Alibaba Cloud. Pengguna hanya dapat menggunakan kebijakan ini tetapi tidak dapat memodifikasinya. Kebijakan sistem untuk Simple Log Service adalah sebagai berikut:

AliyunLogFullAccess: Memberikan izin untuk mengelola Simple Log Service.
AliyunLogReadOnlyAccess: Memberikan izin baca-saja pada Simple Log Service.

Kebijakan kustom

Kebijakan kustom dikelola oleh Anda. Anda dapat membuat, memperbarui, dan menghapus kebijakan kustom sesuai kebutuhan bisnis Anda. Saat kebijakan sistem tidak dapat memenuhi kebutuhan Anda, Anda dapat menerapkan pengelolaan izin secara detail halus dengan membuat kebijakan izin kustom.

Untuk konten kebijakan izin kustom, Simple Log Service menyediakan fitur asisten izin untuk menyederhanakan proses mendapatkan konfigurasi kebijakan izin.

Prosedur untuk Mendapatkan Konfigurasi Kebijakan Menggunakan Asisten Izin

Masuk ke Simple Log Service console, dan klik proyek target dalam daftar Proyek.
Di panel navigasi sebelah kiri, pilih Others > Permission Assistant.

Di halaman Permission Assistant, lengkapi konfigurasi berikut dan klik Next.

Regular Project: Mode proyek reguler mencakup konfigurasi izin untuk semua modul fungsional Simple Log Service.

Parameter	Deskripsi
Pilih Skenario	Skenario yang berbeda terkait dengan modul fungsional yang berbeda. Anda dapat memilih skenario berdasarkan kebutuhan bisnis Anda. Setelah Anda memilih skenario, Simple Log Service secara otomatis memilih modul fungsional yang terkait dengan skenario tersebut. Anda juga dapat membuat skenario kustom dengan memilih modul fungsional tertentu. Izin pada modul fungsional mencakup izin manajemen dan izin baca-saja. Anda dapat memilih izin berdasarkan kebutuhan bisnis Anda.
Sumber Daya	Setelah Anda mengonfigurasi izin pada modul fungsional, Anda dapat menentukan sumber daya tempat Anda ingin memberikan izin. Anda dapat menggunakan tanda asterisk `` untuk nama Proyek dan Logstore. Sebagai contoh: Pengguna RAM atau Peran RAM yang diberikan izin berikut dapat mengelola semua sumber daya Simple Log Service. `"Action": "log:", "Resource": "",` Pengguna RAM atau Peran RAM yang diberikan izin berikut hanya dapat mengelola sumber daya dalam project01. `acs:log:::project/project01` `acs:log:::project/project01/` Pengguna RAM atau Peran RAM yang diberikan izin berikut hanya dapat mengelola sumber daya dalam logstore01 dari project01. `acs:log:::project/project01/logstore/logstore01` `acs:log:::project/project01/logstore/logstore01/*`
Kondisi	Anda dapat menentukan kondisi untuk memberikan izin berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Elemen dasar dari kebijakan izin.

APP: Mode APP mencakup konfigurasi izin untuk Cost Manager, Log Audit Service, dan K8s Event Center.

Parameter	Deskripsi
APLIKASI	Pilih aplikasi tempat Anda ingin memberikan izin. Anda dapat memberikan izin Allow atau Deny pada sebuah aplikasi.
Pilihan Peran Prasetel	Saat Anda memilih Allow untuk sebuah aplikasi, modul fungsional terkait akan otomatis dipilih. Anda juga dapat menyesuaikan pilihan Anda. Izin pada modul fungsional mencakup izin manajemen dan izin baca-saja. Anda dapat memilih izin berdasarkan kebutuhan bisnis Anda.
Sumber Daya	Setelah Anda memilih aplikasi, Simple Log Service secara otomatis menentukan sumber daya terkait. Anda tidak dapat memodifikasi sumber daya terkait.
Kondisi	Anda dapat menentukan kondisi untuk memberikan izin berdasarkan kebutuhan bisnis Anda. Untuk informasi lebih lanjut, lihat Elemen dasar dari kebijakan izin.

Pratinjau kebijakan izin untuk mengonfirmasi informasi aturan, salin kebijakan otorisasi, dan lihat Buat Kebijakan Izin Kustom untuk konfigurasi.

Anda juga dapat merujuk pada daftar operasi Simple Log Service untuk konfigurasi. Operasi terkait adalah sebagai berikut:

Jenis operasi	Operasi	Deskripsi
Operasi baca	log:GetAlert	Mengquery aturan peringatan
Operasi baca	log:GetAppliedConfigs	Mengquery daftar konfigurasi Logtail yang diterapkan
Operasi baca	log:GetAppliedMachineGroups	Mengquery kelompok mesin yang terkait dengan konfigurasi Logtail
Operasi baca	log:GetConfig	Mengquery konfigurasi koleksi Logtail
Operasi baca	log:GetCursorOrData	Mengquery cursor berdasarkan waktu
Operasi baca	log:GetDashboard	Mengquery dashboard yang ditentukan
Operasi baca	log:GetETL	Mengquery tugas transformasi data
Operasi baca	log:GetIndex	Mengquery indeks
Operasi baca	log:GetLogging	Mengquery informasi log layanan
Operasi baca	log:GetLogStore	Melihat informasi Logstore
Operasi baca	log:GetLogStoreLogs	Melihat log pemantauan Logstore
Operasi baca	log:GetLogStoreMeteringMode	Mengquery mode metering Logstore
Operasi baca	log:GetLogtailPipelineConfig	Mengquery detail konfigurasi pipeline Logtail
Operasi baca	log:GetMachineGroup	Mengquery informasi tentang kelompok mesin
Operasi baca	log:GetProject	Mengquery proyek yang ditentukan
Operasi baca	log:GetProjectPolicy	Mengquery kebijakan otorisasi proyek
Operasi baca	log:GetSavedSearch	Mengquery pencarian tersimpan
Operasi baca	log:GetScheduledSQL	Mengquery pekerjaan Scheduled SQL
Operasi baca	log:GetStoreView	Mengquery set data yang ditentukan
Operasi baca	log:GetStoreViewIndex	Mengquery konfigurasi indeks set data yang ditentukan
Operasi baca	log:ListConsumerGroup	Mengquery kelompok konsumen
Operasi baca	log:ListDomains	Mengquery nama domain kustom
Operasi baca	log:ListLogStores	Daftar Logstore
Operasi baca	log:ListMachineGroup	Mengquery kelompok mesin dalam proyek
Operasi baca	log:ListMachines	Mengquery daftar mesin dalam kelompok mesin
Operasi baca	log:ListProject	Daftar informasi proyek
Operasi baca	log:ListSavedSearch	Pencarian Cepat
Operasi baca	log:ListShards	Mengquery daftar shard
Operasi baca	log:ListTagResources	Daftar tag sumber daya
Operasi baca	log:ListProjectsInRecycleBin	Mengquery keranjang daur ulang proyek
Operasi tulis	log::PutProjectTransferAcceleration	Mengonfigurasi fitur akselerasi transfer
Operasi tulis	log:ChangeResourceGroup	Mengubah Kelompok Sumber Daya
Operasi tulis	log:ConsumerGroupHeartBeat	Mengirimkan heartbeat dari konsumen ke server
Operasi tulis	log:ConsumerGroupUpdateCheckPoint	Memperbarui titik pemeriksaan konsumsi
Operasi tulis	log:CreateConfig	Membuat konfigurasi koleksi Logtail
Operasi tulis	log:CreateConsumerGroup	Membuat kelompok konsumen
Operasi tulis	log:CreateDashboard	Membuat dashboard
Operasi tulis	log:CreateDomain	Membuat nama domain kustom
Operasi tulis	log:CreateIndex	Membuat indeks
Operasi tulis	log:CreateLogging	Membuat log layanan
Operasi tulis	log:CreateLogStore	Membuat Logstore
Operasi tulis	log:CreateLogtailPipelineConfig	Membuat konfigurasi pipeline Logtail
Operasi tulis	log:CreateMachineGroup	Membuat kelompok mesin
Operasi tulis	log:CreateMetricStore	Membuat Metricstore
Operasi tulis	log:CreateProject	Membuat Proyek
Operasi tulis	log:CreateSavedSearch	Membuat pencarian tersimpan
Operasi tulis	log:CreateScheduledSQL	Membuat pekerjaan Scheduled SQL
Operasi tulis	log:CreateSqlInstance	Mengaktifkan fitur Dedicated SQL
Operasi tulis	log:CreateStoreView	Membuat set data
Operasi tulis	log:DeleteAlert	Menghapus aturan peringatan
Operasi tulis	log:DeleteConfig	Menghapus konfigurasi Logtail
Operasi tulis	log:DeleteConsumerGroup	Menghapus kelompok konsumen
Operasi tulis	log:DeleteDashboard	Menghapus dashboard
Operasi tulis	log:DeleteDomain	Menghapus nama domain kustom
Operasi tulis	log:DeleteIndex	Menghapus indeks
Operasi tulis	log:DeleteLogStore	Menghapus Logstore
Operasi tulis	log:DeleteMachineGroup	Menghapus kelompok mesin
Operasi tulis	log:DeleteProject	Menghapus proyek yang ditentukan
Operasi tulis	log:DeleteProjectPolicy	Menghapus kebijakan otorisasi proyek
Operasi tulis	log:DeleteSavedSearch	Menghapus pencarian tersimpan
Operasi tulis	log:DeleteScheduledSQL	Menghapus pekerjaan Scheduled SQL
Operasi tulis	log:DeleteStoreView	Menghapus set data
Operasi tulis	log:DisableAlert	Menonaktifkan aturan peringatan
Operasi tulis	log:DisableScheduledSQL	Menonaktifkan Scheduled SQL
Operasi tulis	log:EnableAlert	Mengaktifkan aturan peringatan
Operasi tulis	log:EnableScheduledSQL	Mengaktifkan Scheduled SQL
Operasi tulis	log:GetSqlInstance	Mengquery instans Dedicated SQL
Operasi tulis	log:ListScheduledSQLs	Daftar pekerjaan Scheduled SQL
Operasi tulis	log:MergeShard	Menggabungkan shard
Operasi tulis	log:PostLogStoreLogs	Menulis log
Operasi tulis	log:PutProjectPolicy	Membuat kebijakan otorisasi proyek
Operasi tulis	log:SplitShard	Memisahkan shard
Operasi tulis	log:TagResources	Menambahkan tag
Operasi tulis	log:UntagResources	Menghapus tag
Operasi tulis	log:UpdateConfig	Memperbarui konfigurasi koleksi Logtail
Operasi tulis	log:UpdateConsumerGroup	Memperbarui kelompok konsumen
Operasi tulis	log:UpdateDashboard	Memperbarui dashboard
Operasi tulis	log:UpdateIndex	Memperbarui indeks
Operasi tulis	log:UpdateLogging	Memperbarui konfigurasi log layanan
Operasi tulis	log:UpdateLogStore	Memperbarui Logstore
Operasi tulis	log:UpdateLogStoreMeteringMode	Memperbarui mode metering Logstore
Operasi tulis	log:UpdateLogtailPipelineConfig	Memperbarui konfigurasi pipeline Logtail
Operasi tulis	log:UpdateMachineGroup	Memodifikasi kelompok mesin
Operasi tulis	log:UpdateMachineGroupMachine	Memodifikasi daftar mesin dalam kelompok mesin
Operasi tulis	log:UpdateProject	Memperbarui proyek
Operasi tulis	log:UpdateSavedSearch	Memperbarui pencarian tersimpan
Operasi tulis	log:UpdateScheduledSQL	Memperbarui pekerjaan Scheduled SQL
Operasi tulis	log:UpdateSqlInstance	Memperbarui instans Dedicated SQL
Operasi tulis	log:UpdateStoreView	Memperbarui konfigurasi set data
Operasi daftar	log:ListConfig	Mengquery daftar konfigurasi Logtail
Operasi daftar	log:ListDashboard	Kueri Dasbor
Operasi daftar	log:ListDownloadJobs	Daftar tugas unduh log
Operasi daftar	log:ListETLs	Daftar tugas transformasi data
Operasi daftar	log:ListOSSExports	Daftar pekerjaan pengiriman data OSS
Operasi daftar	log:ListOSSHDFSExports	Daftar tugas pengiriman OSS-HDFS
Operasi daftar	log:ListOSSIngestions	Daftar tugas impor OSS
Operasi daftar	log:ListStoreViews	Mengquery daftar set data

Skenario dan contoh umum kebijakan izin kustom

Permissions to view the project list

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada Pengguna RAM:

Izin untuk melihat daftar proyek dari akun Alibaba Cloud.

Gunakan kebijakan berikut:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": [
        "acs:log:*:*:project/*"
      ],
      "Effect": "Allow"
    }
  ]
}

Read-only permissions on projects

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada Pengguna RAM:

Izin untuk melihat daftar proyek dari akun Alibaba Cloud.
Izin baca-saja pada proyek tertentu dalam akun Alibaba Cloud.

Catatan

Jika Anda memberikan izin baca-saja pada sebuah proyek kepada Pengguna RAM, Pengguna RAM tersebut tidak dapat melihat log dalam proyek. Anda juga harus memberikan izin baca-saja pada Logstore dalam proyek.

Berikut ini adalah contoh kebijakan yang memberikan izin di atas:

{
   "Version": "1",
   "Statement": [
     {
       "Action": ["log:ListProject"],
       "Resource": ["acs:log:*:*:project/*"],
       "Effect": "Allow"
      },
     {
       "Action": [
         "log:Get*",
         "log:List*"
       ],
       "Resource": "acs:log:*:*:project/<Nama Proyek>/*",
       "Effect": "Allow"
     }
   ]
 }

Read-only permissions on a specified Logstore and permissions to create and use saved searches

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada Pengguna RAM:

Izin untuk melihat daftar proyek dari akun Alibaba Cloud.
Izin baca-saja pada Logstore tertentu dan izin untuk membuat serta mengelola pencarian tersimpan.

Berikut ini adalah contoh kebijakan yang memberikan izin di atas:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<Nama Proyek>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/logstore/<Nama Logstore>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/dashboard",
        "acs:log:*:*:project/<Nama Proyek>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Create*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/savedsearch",
        "acs:log:*:*:project/<Nama Proyek>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

Read-only permissions on a specified Logstore and read-only permissions on saved searches and dashboards in a specified Project

Gunakan akun Alibaba Cloud untuk memberikan izin berikut kepada Pengguna RAM:

Izin untuk melihat daftar proyek dari akun Alibaba Cloud.
Izin baca-saja pada Logstore tertentu dan izin untuk melihat semua pencarian tersimpan dan dashboard dalam proyek tempat Logstore tersebut berada.

Berikut ini adalah contoh kebijakan yang memberikan izin di atas:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<Nama Proyek>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/logstore/<Nama Logstore>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/dashboard",
        "acs:log:*:*:project/<Nama Proyek>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/savedsearch",
        "acs:log:*:*:project/<Nama Proyek>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

Write permissions on a specified project

Untuk memberikan izin hanya menulis data ke proyek tertentu kepada Pengguna RAM, gunakan kebijakan berikut:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
      "Resource": "acs:log:*:*:project/<Nama Proyek>/*",
      "Effect": "Allow"
    }
  ]
}

Write permissions on a specified Logstore

Untuk memberikan izin hanya menulis data ke Logstore tertentu kepada Pengguna RAM, gunakan kebijakan berikut:

{
  "Version":"1",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "log:PostLogStoreLogs"
      ],
      "Resource":[
        "acs:log:*:*:project/<Nama Proyek>/logstore/<Nama Logstore>"
      ]
    }
  ]
}

Consumption permissions on a specified project

Untuk memberikan izin hanya mengonsumsi data dari proyek tertentu kepada Pengguna RAM, gunakan kebijakan berikut:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": "acs:log:*:*:project/<Nama Proyek>/*",
      "Effect": "Allow"
    }
  ]
}

Consumption permissions on a specified Logstore

Untuk memberikan izin hanya mengonsumsi data dari Logstore tertentu kepada Pengguna RAM, gunakan kebijakan berikut:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/logstore/<Nama Logstore>",
        "acs:log:*:*:project/<Nama Proyek>/logstore/<Nama Logstore>/*"
      ],
      "Effect": "Allow"
    }
  ]
}

Permissions to forcefully enable encryption configuration for a specified Logstore

Setelah Anda memberikan izin kepada Pengguna RAM untuk secara paksa mengaktifkan konfigurasi enkripsi untuk Logstore tertentu, Pengguna RAM tersebut harus mengaktifkan konfigurasi enkripsi saat membuat atau memodifikasi Logstore. Pengguna RAM yang tidak diberikan izin ini tidak perlu mengaktifkan konfigurasi enkripsi saat membuat atau memodifikasi Logstore.

Catatan

Anda dapat menentukan nama proyek dan Logstore yang tepat. Anda juga dapat menggunakan tanda asterisk (*) untuk pencocokan kabur.

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateLogStore",
        "log:UpdateLogStore"
      ],
      "Resource": [
        "acs:log:*:*:project/<Nama Proyek>/logstore/<Nama Logstore>",
        "acs:log:*:*:project/<Nama Proyek>/logstore/*"
      ],
      "Condition": {
        "Bool": {
          "log:Encrypted": "true"
        }
      }
    }
  ]
}

Permissions required to use log applications

Untuk mengizinkan Pengguna RAM menggunakan aplikasi log atau fitur berikut, Anda harus memberikan izin yang diperlukan kepada Pengguna RAM:

Audit Database
Pemantauan Mobile O&M
Pusat Log Aliran
Analisis Log untuk AWS CloudTrail
SREWorks
Audit Host Umum
Analisis Anomali Cerdas
Dashboard kustom
Playlist dashboard

Izin berikut diperlukan untuk menggunakan aplikasi log:

Izin baca-saja

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetResource",
                "log:ListResources",
                "log:GetResourceRecord",
                "log:ListResourceRecords"
            ],
            "Resource": [
                "acs:log:*:*:resource/*"
            ]
        }
    ]
}

Izin manajemen

{
    "Version": "1",
    "Statement": [
          {
      "Effect": "Allow",
      "Action": [
        "log:*"
      ],
      "Resource": [
        "acs:log:*:*:resource/*"
      ]
    }
    ]
}