All Products
Search
Document Center

Simple Log Service:Skenario 2: Transfer intra-akun dengan RAM roles

Last Updated:May 01, 2026

Saat membuat pekerjaan transformasi data sebagai RAM user, Anda dapat menggunakan role kustom untuk mentransfer data log dalam satu akun Alibaba Cloud yang sama.

Prasyarat

Informasi latar belakang

Dalam skenario satu akun di mana RAM user membuat pekerjaan transformasi data, RAM role A harus memiliki izin baca pada Logstore sumber, dan RAM role B harus memiliki izin tulis pada Logstore tujuan. Gambar berikut menunjukkan model otorisasi untuk skenario ini.

Langkah 1: Buat role A

  1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud Anda atau sebagai administrator RAM.
  2. Buat RAM role A.

    Untuk informasi selengkapnya, lihat Membuat RAM role untuk layanan Alibaba Cloud tepercaya. Konfigurasikan parameter utama seperti yang dijelaskan dalam tabel berikut.

    Parameter Utama

    Deskripsi

    Select type of trusted entity

    Pilih Alibaba Cloud Service.

    Role Type

    Pilih Normal Service Role.

    Role Name

    Masukkan nama role, misalnya role-A.

    Select Trusted Service

    Pilih Simple Log Service.

Langkah 2: Berikan izin baca

  1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud Anda atau sebagai administrator RAM.
  2. Dalam mode editor skrip, buat kebijakan kustom yang mengizinkan Anda membaca data dari Logstore sumber. Misalnya, beri nama kebijakan tersebut ori_read.

    Untuk informasi selengkapnya, lihat Membuat kebijakan kustom. Konfigurasikan parameter utama seperti yang dijelaskan dalam tabel berikut.

    Parameter Utama

    Deskripsi

    Name

    Masukkan nama untuk kebijakan kustom tersebut. Misalnya, masukkan ori_read.

    Policy Document

    Ganti skrip yang ada di editor dengan konten berikut.

    Dalam contoh ini, proyek sumber adalah log-project-prod dan Logstore sumber adalah access_log. Ganti nilai-nilai ini sesuai dengan konfigurasi aktual Anda.

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:ListShards",
            "log:GetCursorOrData",
            "log:GetConsumerGroupCheckPoint",
            "log:UpdateConsumerGroup",
            "log:ConsumerGroupHeartBeat",
            "log:ConsumerGroupUpdateCheckPoint",
            "log:ListConsumerGroup",
            "log:CreateConsumerGroup"
          ],
          "Resource": [
            "acs:log:*:*:project/log-project-prod/logstore/access_log",
            "acs:log:*:*:project/log-project-prod/logstore/access_log/*"
          ],
          "Effect": "Allow"
        }
      ]
    }
  3. Berikan RAM role A izin baca pada Logstore sumber.

    Untuk informasi selengkapnya, lihat Mengelola izin untuk RAM role. Konfigurasikan parameter utama seperti yang dijelaskan dalam tabel berikut.

    Parameter Utama

    Deskripsi

    Grant Permission On

    Pilih Account Level. Izin berlaku dalam Akun Alibaba Cloud saat ini.

    Principal

    Pilih role-A, yang telah Anda buat di Langkah 1: Buat RAM role A.

    Custom Policy

    Pilih ori_read.

  4. Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari RAM role tersebut.

    Pada halaman detail RAM role A, temukan ARN di bagian Basic Information. Contoh: acs:ram::1379******44:role/role-a.

Langkah 3: Buat role B

  1. Buat RAM role B.

    Untuk informasi selengkapnya, lihat Membuat RAM role untuk layanan Alibaba Cloud tepercaya. Konfigurasikan parameter utama seperti yang dijelaskan dalam tabel berikut.

    Parameter Utama

    Deskripsi

    Select type of trusted entity

    Pilih Alibaba Cloud Service.

    Role Type

    Pilih Normal Service Role.

    Role Name

    Masukkan nama role, misalnya role-B.

    Select Trusted Service

    Pilih Simple Log Service.

Langkah 4: Berikan izin tulis

  1. Buat kebijakan kustom dalam mode editor skrip untuk menulis hasil transformasi data ke Logstore tujuan. Misalnya, Anda dapat membuat kebijakan bernama write.

    Untuk informasi selengkapnya, lihat Membuat kebijakan kustom. Konfigurasikan parameter utama seperti yang dijelaskan dalam tabel berikut.

    Parameter Utama

    Deskripsi

    Name

    Masukkan nama untuk kebijakan kustom tersebut. Misalnya, masukkan write.

    Policy Document

    Ganti skrip yang ada di editor dengan konten berikut.

    Dalam contoh ini, proyek tujuan adalah log-project-prod dan Logstore tujuan adalah access_log_output. Ganti nilai-nilai ini sesuai dengan konfigurasi aktual Anda.

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:Post*",
            "log:BatchPost*"
          ],
           "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
          "Effect": "Allow"
        }
      ]
    }
  2. Berikan RAM role B izin tulis pada Logstore tujuan.

    Untuk informasi selengkapnya, lihat Mengelola izin untuk RAM role. Konfigurasikan parameter utama seperti yang dijelaskan dalam tabel berikut.

    Parameter Utama

    Deskripsi

    Grant Permission On

    Pilih Account Level. Izin berlaku dalam Akun Alibaba Cloud saat ini.

    Principal

    Pilih role-B, yang telah Anda buat di Langkah 3: Buat RAM role B.

    Custom Policy

    Pilih write.

  3. Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari RAM role tersebut.

    Pada halaman detail RAM role B, temukan ARN di bagian Basic Information. Contoh: acs:ram::1379******44:role/role-b.

  4. Buat kebijakan kustom dalam mode editor skrip untuk mengizinkan penulisan hasil transformasi data ke Logstore tujuan. Sebagai contoh, beri nama kebijakan tersebut write.

    Untuk informasi selengkapnya, lihat Membuat kebijakan kustom. Konfigurasikan parameter utama sebagai berikut:

    Parameter Utama

    Deskripsi

    Name

    Masukkan nama untuk kebijakan kustom tersebut. Misalnya, write.

    Policy Document

    Ganti skrip yang ada di kotak konfigurasi dengan konten berikut.

    Misalnya, Proyek tujuan adalah log-project-prod dan Logstore tujuan adalah access_log_output. Ganti nilai-nilai ini sesuai kebutuhan.

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:Post*",
            "log:BatchPost*"
          ],
           "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
          "Effect": "Allow"
        }
      ]
    }
  5. Berikan izin tulis pada Logstore target untuk Role B.

    Untuk informasi selengkapnya, lihat Mengelola izin RAM role. Parameter utama dijelaskan di bawah ini:

    Parameter Utama

    Deskripsi

    Grant Permission On

    Pilih Account Level. Izin berlaku dalam Akun Alibaba Cloud saat ini.

    Principal

    Pilih role-B. Ini adalah role-B yang dibuat di Langkah 3: Buat role B.

    Custom Policy

    Pilih write.

  6. Dapatkan ARN role RAM.

    Lihat informasi pada bagian Basic Information untuk role B. Contohnya, acs:ram::1379******44:role/role-b.

Langkah 5: Buat pekerjaan transformasi data

  1. Masuk ke Konsol Log Service sebagai RAM user.

  2. Navigasi ke halaman transformasi data.

    1. Pada bagian Projects, klik proyek yang Anda inginkan.

    2. Pada tab Log Storage > Logstores, klik Logstore yang Anda inginkan.

    3. Pada halaman kueri dan analisis, klik Data Transformation.

  3. Di pojok kanan atas halaman, pilih rentang waktu.

    Pastikan data log tersedia pada tab Raw Logs.

  4. Masukkan pernyataan transformasi data di editor.

    Untuk informasi lebih lanjut mengenai sintaksis pernyataan transformasi, lihat Sintaksis transformasi data.

  5. Pratinjau data.

    1. Klik Quick.

      Log Service mendukung mode pratinjau Quick dan Advanced. Untuk informasi selengkapnya, lihat Pratinjau dan debug data.

    2. Klik Preview Data.

      Lihat hasil pratinjau.

      • Jika transformasi data gagal karena pernyataan tidak valid atau izin salah, ikuti petunjuk di layar untuk mengatasi error tersebut.

      • Jika hasil transformasi sudah benar, lanjutkan ke langkah berikutnya.

  6. Buat pekerjaan transformasi data.

    1. Klik Save as Transformation Job.

    2. Pada panel Create Data Transformation Job, konfigurasikan parameter dan klik OK.

      Untuk informasi mengenai parameter lainnya, lihat Panduan cepat transformasi data. Tabel berikut menjelaskan parameter utama untuk skenario ini.

      Parameter Utama

      Deskripsi

      Authorization Method

      Pilih Custom Role.

      Role ARN

      Masukkan ARN RAM role A. Contoh: acs:ram::1379******44:role/role-a.

      Authorization Method untuk Storage Destination

      Pilih Custom Role.

      Role ARN

      Masukkan ARN RAM role B. Contoh: acs:ram::1379******44:role/role-b.

    Setelah pekerjaan transformasi data dibuat dan Berjalan, Anda telah berhasil mengonfigurasi transfer data intra-akun. Untuk informasi selengkapnya, lihat Mengelola pekerjaan transformasi data.