全部产品
Search

搜索本产品

    Simple Log Service:Gunakan kebijakan kustom untuk mengotorisasi Simple Log Service mengumpulkan dan menyinkronkan log

    文档中心

    Simple Log Service:Gunakan kebijakan kustom untuk mengotorisasi Simple Log Service mengumpulkan dan menyinkronkan log

    更新时间:Jun 26, 2025

    Aplikasi Log Audit Service memungkinkan Anda mengumpulkan log dari layanan Alibaba Cloud di beberapa akun Alibaba Cloud. Sebelum mengumpulkan log, Anda harus mengotorisasi Simple Log Service untuk mengumpulkan log dari layanan cloud yang diperlukan dan memberi izin kepada akun terkait untuk menyinkronkan data. Untuk otorisasi, Anda dapat menggunakan pasangan AccessKey dari Pengguna Resource Access Management (RAM) dengan izin yang sesuai. Anda juga dapat mengikuti langkah-langkah dalam topik ini untuk membuat kebijakan kustom di RAM.

    Informasi latar belakang

    Anda dapat menggunakan aplikasi Log Audit Service untuk mengumpulkan log layanan cloud dari satu atau beberapa akun Alibaba Cloud. Untuk mengumpulkan log dari beberapa akun, Anda perlu memberikan izin akses timbal balik antara akun Alibaba Cloud saat ini dan akun lainnya.

    Catatan

    Setelah peran layanan AliyunServiceRoleForSLSAudit dibuat, akun Alibaba Cloud saat ini akan memiliki izin yang diperlukan. Untuk informasi lebih lanjut, lihat Konfigurasi Awal Log Audit Service. Jika Anda ingin memberikan izin kustom ke akun Alibaba Cloud lainnya, ikuti langkah-langkah yang dijelaskan dalam topik ini.

    • Anda harus mengotorisasi akun Alibaba Cloud saat ini untuk menyinkronkan log dari akun lain ke penyimpanan log yang didedikasikan untuk log audit dalam akun saat ini.

    • Anda harus mengotorisasi akun Alibaba Cloud lainnya untuk menyinkronkan log ke penyimpanan log yang didedikasikan untuk log audit dalam akun saat ini.

    Aplikasi Log Audit Service dari Simple Log Service melibatkan beberapa peran dan kebijakan. Tabel berikut menjelaskan hubungan antara peran dan kebijakan tersebut.

    Prosedur

    1. Gunakan salah satu akun Alibaba Cloud lainnya untuk masuk ke Konsol RAM.

      Disarankan untuk menggunakan Pengguna RAM untuk menyelesaikan otorisasi. Pengguna RAM harus memiliki izin baca dan tulis pada sumber daya RAM. Misalnya, Pengguna RAM dengan kebijakan AliyunRAMFullAccess memiliki izin yang diperlukan.

    2. Buat kebijakan bernama AliyunLogAuditServiceMonitorAccess.

      1. Di panel navigasi kiri, pilih Permissions > Policies. Pada halaman yang muncul, klik Create Policy.

      2. Di halaman Create Policy, klik tab JSON.

        Ganti konten di editor kode dengan skrip berikut.

        {
    "Version": "1",
    "Statement": [
        {
            "Action": "log:*",
            "Resource": [
                "acs:log:*:*:project/slsaudit-*",
                "acs:log:*:*:app/audit"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "rds:ModifySQLCollectorPolicy",
                "vpc:*FlowLog*",
                "drds:*SqlAudit*",
                "kvstore:ModifyAuditLogConfig",
                "polardb:ModifyDBClusterAuditLogCollector",
                "config:UpdateIntegratedServiceStatus",
                "config:StartConfigurationRecorder",
                "config:PutConfigurationRecorder",
                "pvtz:DescribeResolveAnalysisScopeStatus",
                "pvtz:SetResolveAnalysisScopeStatus"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "config.aliyuncs.com",
                        "pvtz.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

      3. Klik Next to edit policy information. Pada halaman yang muncul, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

        Parameter

        Deskripsi

        Name

        Masukkan AliyunLogAuditServiceMonitorAccess.

        Description

        Masukkan catatan untuk kebijakan.

    3. Buat peran bernama sls-audit-service-monitor.

      1. Di panel navigasi kiri, pilih Identities > Roles. Pada halaman yang muncul, klik Create Role.

      2. Pada langkah Select Role Type, pilih Alibaba Cloud Service, lalu klik Next.

      3. Pada langkah Configure Role, konfigurasikan parameter dan klik OK. Tabel berikut menjelaskan parameter.

        Parameter

        Deskripsi

        Role Type

        Pilih Normal Service Role.

        RAM Role Name

        Masukkan sls-audit-service-monitor.

        Select Trusted Service

        Pilih Log Service dari daftar drop-down.

      4. Pada langkah Finish, klik Add Permissions to RAM Role.

      5. Pada halaman yang muncul, klik Grant Permission.

    4. Pasangkan kebijakan AliyunLogAuditServiceMonitorAccess ke peran sls-audit-service-monitor.

      Di panel Grant Permission, buka bagian Pilih Kebijakan, pilih kebijakan AliyunLogAuditServiceMonitorAccess di bawah Custom Policy, dan pilih kebijakan ReadOnlyAccess di bawah System Policy. Lalu, klik OK.

    5. Ubah kebijakan kepercayaan peran sls-audit-service-monitor.

      1. Klik tab Trust Policy. Di tab tersebut, klik Edit Trust Policy, ganti konten yang ada di editor kode dengan skrip berikut, dan klik Save trust policy document.

        Ganti ID akun Alibaba Cloud dengan ID sebenarnya. Anda dapat melihat ID akun Alibaba Cloud Anda di Pusat Akun.

         {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ID akun Alibaba Cloud@log.aliyuncs.com",
                    "log.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}