全部产品
Search

搜索本产品

    :Melakukan Otorisasi di Konsol RAM

    文档中心

    :Melakukan Otorisasi di Konsol RAM

    更新时间:Jul 02, 2025

    Untuk menggunakan Pengguna Resource Access Management (RAM) dalam mengirimkan log dari Layanan Log Sederhana Logstore ke Bucket Object Storage Service (OSS) dalam akun Alibaba Cloud yang sama atau lintas akun, Anda harus memberikan izin yang diperlukan kepada pengguna RAM melalui konsol RAM. Panduan ini menjelaskan langkah-langkah otorisasi tersebut.

    Penting

    Versi lama pengiriman log ke OSS telah dihentikan. Lihat versi baru.

    Menggunakan Pengguna RAM untuk Membuat Pekerjaan Pengiriman Data OSS (direkomendasikan)

    Penting

    Saat membuat pekerjaan pengiriman data OSS, Anda hanya dapat menentukan satu bucket OSS. Jika ingin mengirimkan log ke dua bucket OSS di akun Alibaba Cloud yang berbeda, buatlah dua pekerjaan pengiriman data terpisah.

    Kirim Data dalam Akun Alibaba Cloud yang Sama

    Logstore dan bucket OSS milik akun Alibaba Cloud yang sama.

    Prosedur

    1. Buat pengguna RAM bernama ram-user. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    2. Berikan ram-user izin untuk membaca data dari Logstore dan mengirimkan data ke OSS.

      1. Buat kebijakan kustom bernama ShipLogsToOSS. Kode berikut menunjukkan isi kebijakan. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

        Catatan

        Anda dapat mengganti Nama Proyek dan Nama Logstore dalam isi kebijakan sesuai dengan skenario bisnis Anda.

        {
  "Version": "1",
  "Statement": [{
    "Effect": "Mengizinkan",
    "Action": [
      "log:GetLogStore",
      "log:GetIndex",
      "log:GetLogStoreHistogram",
      "log:GetLogStoreLogs"
    ],
    "Resource": [
      "acs:log:*:*:project/Nama Proyek/logstore/Nama Logstore",
      "acs:log:*:*:project/Nama Proyek/logstore/internal-diagnostic_log"
    ]
  },
    {
      "Effect": "Mengizinkan",
      "Action": [
        "log:CreateJob",
        "log:UpdateJob",
        "log:DeleteJob",
        "log:ListJobs",
        "log:GetJob"
      ],
      "Resource": "acs:log:*:*:project/Nama Proyek/job/*"
    },
    {
      "Effect": "Mengizinkan",
      "Action": [
        "log:ListLogStores",
        "log:ListDashboard",
        "log:ListSavedSearch"
      ],
      "Resource": "acs:log:*:*:project/Nama Proyek/*"
    },
    {
      "Effect": "Mengizinkan",
      "Action": [
        "ram:PassRole",
        "ram:GetRole",
        "ram:ListRoles"
      ],
      "Resource": "*"
    }
  ]
}

    Apa yang Harus Dilakukan Selanjutnya

    Masuk ke Konsol Layanan Log Sederhana sebagai pengguna RAM dan buat pekerjaan pengiriman data OSS. Untuk informasi lebih lanjut, lihat Kirim Data Log dari Layanan Log Sederhana ke OSS.

    Kirim Data Lintas Akun Alibaba Cloud

    Logstore dan bucket OSS milik akun Alibaba Cloud yang berbeda. Logstore milik Akun Alibaba Cloud A, dan bucket OSS milik Akun Alibaba Cloud B.

    Prosedur

    1. Ubah kebijakan kepercayaan peran AliyunLogDefaultRole dalam Akun Alibaba Cloud B untuk mengizinkan Akun Alibaba Cloud A menulis data ke bucket OSS Akun Alibaba Cloud B. Untuk informasi lebih lanjut, lihat Ubah Kebijakan Kepercayaan Peran AliyunLogDefaultRole.

    2. Buat pengguna RAM bernama ram-user-a untuk Akun Alibaba Cloud A. Untuk informasi lebih lanjut, lihat Buat Pengguna RAM.

    3. Berikan ram-user izin untuk membaca data dari Logstore dan mengirimkan data ke OSS.

      1. Buat kebijakan kustom bernama ShipLogsToOSS. Kode berikut menunjukkan isi kebijakan. Ganti {ID Akun Alibaba Cloud B} sesuai dengan skenario bisnis Anda. Untuk informasi lebih lanjut, lihat Buat Kebijakan Kustom.

        {
  "Version": "1",
  "Statement": [{
    "Effect": "Allow",
    "Action": [
      "log:GetLogStore",
      "log:GetIndex",
      "log:GetLogStoreHistogram",
      "log:GetLogStoreLogs"
    ],
    "Resource": [
      "acs:log:*:*:project/Nama Proyek/logstore/Nama Logstore",
      "acs:log:*:*:project/Nama Proyek/logstore/internal-diagnostic_log"
    ]
  },
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateJob",
        "log:UpdateJob",
        "log:DeleteJob",
        "log:ListJobs",
        "log:GetJob"
      ],
      "Resource": "acs:log:*:*:project/Nama Proyek/job/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "log:ListLogStores",
        "log:ListDashboard",
        "log:ListSavedSearch"
      ],
      "Resource": "acs:log:*:*:project/Nama Proyek/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "ram:PassRole",
        "ram:GetRole",
        "ram:ListRoles"
      ],
      "Resource": "acs:ram::{ID Akun Alibaba Cloud B}:role/aliyunlogdefaultrole"
    }
  ]
}

      2. Tautkan kebijakan ShipLogsToOSS ke ram-user-a. Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM.

    Apa yang Harus Dilakukan Selanjutnya

    Masuk ke Konsol Layanan Log Sederhana sebagai pengguna RAM dan buat pekerjaan pengiriman data OSS. Untuk informasi lebih lanjut, lihat Kirim Data Log dari Layanan Log Sederhana ke OSS.

    Menggunakan Akun Alibaba Cloud untuk Membuat Pekerjaan Pengiriman Data OSS

    Penting

    • Akun Alibaba Cloud Anda memiliki izin untuk mengelola semua sumber daya cloud. Untuk mengurangi risiko keamanan, kami merekomendasikan agar Anda menggunakan pengguna RAM.

    • Saat membuat pekerjaan pengiriman data OSS, Anda hanya dapat menentukan satu bucket OSS. Jika ingin mengirimkan log ke dua bucket OSS di akun Alibaba Cloud yang berbeda, buatlah dua pekerjaan pengiriman data terpisah.

    Kirim Data dalam Akun Alibaba Cloud yang Sama

    Logstore dan bucket OSS milik akun Alibaba Cloud yang sama.

    Prosedur

    Buat peran RAM bernama AliyunLogDefaultRole. Untuk informasi lebih lanjut, lihat Otorisasi Akses Sumber Daya Cloud.

    Apa yang Harus Dilakukan Selanjutnya

    Masuk ke Konsol Layanan Log Sederhana menggunakan akun Alibaba Cloud dan buat pekerjaan pengiriman data OSS. Untuk informasi lebih lanjut, lihat Kirim Data Log dari Layanan Log Sederhana ke OSS.

    Kirim Data Lintas Akun Alibaba Cloud

    Logstore dan bucket OSS milik akun Alibaba Cloud yang berbeda. Logstore milik Akun Alibaba Cloud A, dan bucket OSS milik Akun Alibaba Cloud B.

    Prosedur

    1. Buat pengguna RAM bernama AliyunLogDefaultRole untuk Akun Alibaba Cloud B. Untuk informasi lebih lanjut, lihat Otorisasi Akses Sumber Daya Cloud.

    2. Ubah kebijakan kepercayaan peran AliyunLogDefaultRole dalam Akun Alibaba Cloud B untuk mengizinkan Akun Alibaba Cloud A menulis data ke bucket OSS Akun Alibaba Cloud B. Untuk informasi lebih lanjut, lihat Ubah Kebijakan Kepercayaan Peran AliyunLogDefaultRole.

    Apa yang Harus Dilakukan Selanjutnya

    Masuk ke Konsol Layanan Log Sederhana menggunakan akun Alibaba Cloud dan buat pekerjaan pengiriman data OSS. Untuk informasi lebih lanjut, lihat Kirim Data Log dari Layanan Log Sederhana ke OSS.

    Ubah Kebijakan Kepercayaan Peran AliyunLogDefaultRole

    Untuk mengirimkan log dari Layanan Log Sederhana Logstore Akun Alibaba Cloud A ke bucket OSS Akun Alibaba Cloud B, Anda harus mengubah kebijakan kepercayaan peran AliyunLogDefaultRole. Untuk informasi lebih lanjut, lihat AliyunLogDefaultRole. Prosedur:

    1. Pergi ke halaman Otorisasi Akses Sumber Daya Cloud menggunakan Akun Alibaba Cloud B untuk membuat peran AliyunLogDefaultRole.

    2. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud B.

    3. Di panel navigasi kiri, pilih Identities > Roles.

    4. Di halaman Peran, temukan peran AliyunLogDefaultRole dan klik nama tersebut.

    5. Di tab Trust Policy, klik Edit Trust Policy.

      Catatan

      Di editor kode, tambahkan {ID Akun Alibaba Cloud A}@log.aliyuncs.com ke elemen Service. Ganti {ID Akun Alibaba Cloud A} dengan ID akun Alibaba Cloud Anda. Anda dapat melihat ID akun Alibaba Cloud Anda di konsol Account Center.

      {
"Statement": [
 {
   "Action": "sts:AssumeRole",
   "Effect": "Allow",
   "Principal": {
     "Service": [
       "{ID Akun Alibaba Cloud A}@log.aliyuncs.com",
       "log.aliyuncs.com"
     ]
   }
 }
],
"Version": "1"
}