Simple Log Service (SLS) menggunakan peran terkait layanan AliyunServiceRoleForSLSAudit untuk membaca data resource dan menyesuaikan pengaturan pengumpulan log di berbagai layanan Alibaba Cloud lainnya. Topik ini menjelaskan kapan peran tersebut dibuat, izin yang diberikan, serta cara mengelolanya.
Skenario
Aplikasi SLS seperti Log Audit Service dan EBS Lens mengumpulkan log dengan memanggil operasi OpenAPI dari layanan cloud lainnya. Untuk melakukannya, SLS mengasumsikan peran AliyunServiceRoleForSLSAudit, yang memberikan izin untuk membaca data resource dan memodifikasi pengaturan pengumpulan log pada layanan-layanan tersebut. Untuk informasi lebih lanjut, lihat Service-linked roles.
Peran AliyunServiceRoleForSLSAudit
Peran AliyunServiceRoleForSLSAudit dibuat secara otomatis saat Anda mengaktifkan Simple Log Service. Jika Anda menghapus peran tersebut, peran akan dibuat ulang saat Anda mengaktifkan SLS atau menggunakan aplikasi SLS yang memerlukannya.
Nama peran: AliyunServiceRoleForSLSAudit
Kebijakan akses: AliyunServiceRolePolicyForSLSAudit
-
Detail kebijakan:
{ "Version": "1", "Statement": [ { "Action": [ "resourcemanager:ListAccounts", "resourcemanager:GetAccount", "resourcemanager:GetResourceDirectory", "resourcemanager:GetFolder", "resourcemanager:ListFoldersForParent", "resourcemanager:ListAccountsForParent", "rds:DescribeRegions", "rds:DescribeSqlLogInstances", "rds:DescribeDBInstanceAttribute", "rds:ListTagResources", "rds:DisableSqlLogDistribution", "rds:EnableSqlLogDistribution", "rds:ModifySQLCollectorPolicy", "rds:DescribeSQLCollectorRetention", "polardb:DescribeRegions", "polardb:DescribeDBClusters", "polardb:DescribeSqlLogClusters", "polardb:ModifyDBClusterAuditLogCollector", "polardb:DescribeDBClusterAttribute", "polardb:DescribeSQLExplorerRetention", "kvstore:DescribeRegions", "kvstore:DescribeInstances", "kvstore:DescribeRedisLogConfig", "kvstore:ModifyAuditLogConfig", "kvstore:DescribeInstanceAttribute", "kvstore:DescribeEngineVersion", "kvstore:InitializeKvstorePermission", "drds:DescribeDrdsInstances", "drds:DescribeDrdsDBs", "drds:EnableSqlAuditExtraWrite", "drds:DisableSqlAuditExtraWrite", "drds:DescribeDrdsRegions", "drds:DescribeDrdsSqlAuditStatus", "slb:DescribeRegions", "slb:DescribeLoadBalancers", "slb:DescribeLoadBalancerAttribute", "slb:SetAccessLogsDownloadAttribute", "slb:DeleteAccessLogsDownloadAttribute", "slb:DescribeAccessLogsDownloadAttribute", "slb:ListTagResources", "alb:DescribeRegions", "alb:ListLoadBalancers", "alb:EnableLoadBalancerAccessLog", "alb:DisableLoadBalancerAccessLog", "alb:GetLoadBalancerAttribute", "cs:GetClustersByUid", "cs:GetClusters", "kms:DescribeKeyStores", "oss:GetBucketInfo", "oss:ListBuckets", "oss:GetBucketTagging", "oss:GetBucketWorm", "oss:GetBucketLifecycle", "oss:GetBucketReferer", "ecs:DescribeDisks", "ecs:DescribeSnapshots", "ecs:DescribeRegions", "ecs:DescribeInstances", "mse:GetGateway", "cen:ListTransitRouters", "cen:ListTransitRouterPeerAttachments", "cen:ListTransitRouterVbrAttachments", "vpc:DescribeVpcs", "vpc:GetNatGatewayAttribute", "vpc:DescribeNatGateways", "vpc:DescribeRegions", "hbase:DescribeInstance", "lindorm:GetLindormInstance" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "oos:StartExecution", "oos:ListExecutions" ], "Resource": [ "acs:oos:*:*:template/ACS-LOG-BulkyInstallLogtail", "acs:oos:*:*:execution/*" ], "Effect": "Allow" }, { "Action": [ "ecs:InvokeCommand", "ecs:DescribeInvocations", "ecs:DescribeInvocationResults", "ecs:DescribeCloudAssistantStatus" ], "Resource": [ "acs:ecs:*:*:instance/*", "acs:ecs:*:*:command/cmd-ACS-LOG-InstallLogtail-*" ], "Effect": "Allow" }, { "Action": [ "log:CreateProject", "log:GetProject", "log:ListProject", "log:ListLogStores", "log:GetLogStore", "log:GetLogStoreLogs", "log:PostLogStoreLogs", "log:BatchPostLogStoreLogs", "log:CreateIndex", "log:UpdateIndex", "log:CreateDashboard", "log:UpdateDashboard", "log:CreateLogStore", "log:CreateSavedSearch", "log:UpdateSavedSearch", "log:CreateJob", "log:UpdateJob", "log:ListShards", "log:GetCursorOrData", "log:GetConsumerGroupCheckPoint", "log:UpdateConsumerGroup", "log:ConsumerGroupHeartBeat", "log:ConsumerGroupUpdateCheckPoint", "log:ListConsumerGroup", "log:CreateConsumerGroup", "log:GetLogging", "log:CreateLogging", "log:UpdateLogging", "log:DeleteLogging", "log:PostProjectQuery", "log:GetProjectQuery", "log:PutProjectQuery", "log:DeleteProjectQuery", "log:GetMachineGroup", "log:ListMachineGroup" ], "Resource": [ "acs:log:*:*:project/*" ], "Effect": "Allow" }, { "Action": [ "log:GetApp", "log:UpdateApp", "log:CreateApp" ], "Resource": [ "acs:log:*:*:app/audit" ], "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "r-kvstore.aliyuncs.com", "logdelivery.alb.aliyuncs.com" ] } } }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com" } } } ] }
Hapus peran
Jika Anda tidak lagi menggunakan Log Audit Service atau EBS Lens, hapus peran AliyunServiceRoleForSLSAudit untuk mencabut izin yang diberikan kepada SLS atas layanan cloud lainnya.
Sebelum menghapus peran, hentikan semua tugas pengumpulan log di aplikasi SLS yang bergantung padanya (seperti Log Audit Service dan EBS Lens). Menghapus peran saat tugas pengumpulan sedang aktif akan menyebabkan tugas tersebut gagal.
Untuk menghapus peran, buka Konsol RAM, temukan peran AliyunServiceRoleForSLSAudit, lalu pilih Hapus. Jika Anda perlu menggunakan kembali peran tersebut setelah dihapus, aktifkan Simple Log Service atau buka aplikasi SLS yang memerlukannya—SLS akan membuat ulang peran tersebut secara otomatis.
Berikan izin kepada Pengguna RAM untuk mengelola peran
Secara default, hanya pemilik Akun Alibaba Cloud yang dapat membuat atau menghapus peran AliyunServiceRoleForSLSAudit. Untuk memberikan izin kepada Pengguna RAM agar dapat mengelola peran tersebut, sambungkan kebijakan yang memberikan izin berikut:
Untuk mengizinkan Pengguna RAM membuat peran, berikan
ram:CreateServiceLinkedRoleuntuk nama layananaudit.log.aliyuncs.com.Untuk mengizinkan Pengguna RAM menghapus peran, berikan
ram:DeleteServiceLinkedRoleuntuk nama layananaudit.log.aliyuncs.com.
Kebijakan contoh berikut memberikan izin kepada Pengguna RAM untuk membuat dan menghapus peran:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ram:CreateServiceLinkedRole",
"ram:DeleteServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"ram:ServiceName": "audit.log.aliyuncs.com"
}
}
}
]
}