All Products
Search

This Product

    Simple Log Service:Buat pekerjaan SQL terjadwal dengan peran RAM kustom

    Document Center

    Simple Log Service:Buat pekerjaan SQL terjadwal dengan peran RAM kustom

    Last Updated:Jun 21, 2026

    Layanan Log Sederhana memungkinkan Anda menggunakan peran default AliyunLogETLRole atau peran RAM kustom untuk membuat pekerjaan SQL terjadwal. Topik ini menjelaskan cara memberikan izin kepada peran RAM kustom agar dapat menganalisis log di logstore sumber dan menulis data ke logstore tujuan.

    Berikan izin analisis untuk logstore sumber

    1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud yang berisi logstore sumber, atau sebagai administrator RAM untuk akun tersebut.

    2. Buat peran RAM, misalnya dengan nama QueryLogStoreRole. Untuk informasi selengkapnya, lihat Buat peran RAM untuk layanan Alibaba Cloud tepercaya.

      Penting

      • Saat membuat peran RAM, atur Principal Type menjadi Cloud Service, dan Principal Name menjadi Simple Log Service.

      • Periksa kebijakan kepercayaan peran RAM tersebut. Pastikan elemen Service berisi setidaknya "log.aliyuncs.com". 

        {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "log.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    3. Buat kebijakan kustom, seperti QueryLogStorePolicy, untuk memberikan izin menganalisis log di logstore sumber. Untuk informasi selengkapnya, lihat Buat kebijakan kustom di editor JSON.

      Pada tab JSON editor, ganti konten di editor kebijakan dengan kebijakan untuk otorisasi pencocokan eksak atau pencocokan kabur.

      Otorisasi pencocokan eksak

      Ganti {project-name} dan {logstore-name} dengan nama proyek dan logstore aktual Anda.

      Penting

      Dalam kebijakan kustom, tipe resource logstore mencakup logstore maupun metricstore, sehingga kebijakan ini juga berlaku jika sumbernya adalah metricstore.

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:PostProjectQuery"
            ],
            "Resource":[
                "acs:log:*:*:project/{project-name}/logstore/{logstore-name}"
            ],
            "Effect":"Allow"
        },
        {
            "Action":[
                "log:GetProjectQuery",
                "log:PutProjectQuery",
                "log:DeleteProjectQuery"
            ],
            "Resource":[
                "acs:log:*:*:project/{project-name}"
            ],
            "Effect":"Allow"
        }
    ]
}

      Otorisasi Pencocokan Fuzzy

      Misalnya, jika proyek sumber Anda bernama log-project-dev-a, log-project-dev-b, dan log-project-dev-c, serta logstore sumber Anda bernama website_a_log, website_b_log, dan website_c_log, Anda dapat menggunakan otorisasi pencocokan kabur. Ganti nama proyek dan logstore dalam kebijakan sesuai skenario aktual Anda.

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:PostProjectQuery"
            ],
            "Resource":[
                "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log"
            ],
            "Effect":"Allow"
        },
        {
            "Action":[
                "log:GetProjectQuery",
                "log:PutProjectQuery",
                "log:DeleteProjectQuery"
            ],
            "Resource":[
                "acs:log:*:*:project/log-project-dev-*"
            ],
            "Effect":"Allow"
        }
    ]
}

    4. Berikan kebijakan kustom QueryLogStorePolicy kepada peran RAM QueryLogStoreRole. Untuk informasi selengkapnya, lihat Kelola izin untuk peran RAM.

    Langkah selanjutnya

    1. Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM tersebut. Untuk informasi selengkapnya, lihat Lihat peran RAM.

    2. Saat membuat pekerjaan SQL terjadwal, pada bagian SQL Execution Authorization, pilih Custom Role dan masukkan ARN dari peran RAM QueryLogStoreRole. Untuk informasi selengkapnya, lihat Buat pekerjaan SQL terjadwal.

    Berikan izin menulis untuk logstore tujuan

    1. Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud yang berisi logstore tujuan, atau sebagai administrator RAM untuk akun tersebut.

    2. Buat peran RAM, misalnya dengan nama WriteLogStoreRole. Untuk informasi selengkapnya, lihat Buat peran RAM untuk layanan Alibaba Cloud tepercaya.

      Penting

      • Saat membuat peran RAM, atur Principal Type menjadi Cloud Service, dan Principal Name menjadi Simple Log Service.

      • Periksa kebijakan kepercayaan peran RAM tersebut. Pastikan elemen Service berisi setidaknya "log.aliyuncs.com". 

        {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "log.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    3. Buat kebijakan kustom, seperti WriteLogStorePolicy, untuk memberikan izin menulis data ke logstore tujuan. Untuk informasi selengkapnya, lihat Buat kebijakan kustom di editor JSON.

      Pada tab JSON editor, ganti konten di editor kebijakan dengan kebijakan untuk otorisasi pencocokan eksak atau pencocokan kabur.

      Otorisasi pencocokan eksak

      Ganti {project-name} dan {logstore-name} dengan nama proyek dan logstore aktual Anda.

      Penting

      Dalam kebijakan kustom, tipe resource logstore mencakup logstore maupun metricstore, sehingga kebijakan ini juga berlaku jika sumbernya adalah metricstore.

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:PostLogStoreLogs",
        "log:PostProjectQuery"
      ],
       "Resource": "acs:log:*:*:project/{project-name}/logstore/{logstore-name}",
      "Effect": "Allow"
    }
  ]
}

      Otorisasi fuzzy match

      Misalnya, untuk mencocokkan proyek tujuan seperti log-project-dev-a, log-project-dev-b, dan log-project-dev-c, serta logstore seperti website_a_log_output, website_b_log_output, dan website_c_log_output, Anda dapat menggunakan otorisasi pencocokan kabur. Sesuaikan nama proyek dan logstore dalam kebijakan agar sesuai dengan skenario Anda.

      {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*",
        "log:BatchPost*"
      ],
       "Resource": "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log_output",
      "Effect": "Allow"
    }
  ]
}

    4. Berikan kebijakan kustom WriteLogStorePolicy kepada peran RAM WriteLogStoreRole. Untuk informasi selengkapnya, lihat Kelola izin untuk peran RAM.

    5. (Opsional) Jika logstore sumber dan logstore tujuan berada di akun Alibaba Cloud yang berbeda, Anda juga harus mengubah kebijakan kepercayaan untuk peran RAM WriteLogStoreRole.

      1. Pada daftar peran RAM, klik peran RAM WriteLogStoreRole.

      2. Pada tab Trust Policy, klik Edit Trust Policy dan ganti konten di editor dengan kebijakan berikut.

        Penting

        Ganti {source-account-id} dengan ID Akun Alibaba Cloud tempat logstore sumber berada. Anda dapat menemukan ID akun tersebut di Pusat Akun.

        {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "log.aliyuncs.com",
          "{source-account-id}@log.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    Langkah selanjutnya

    1. Dapatkan Nama Sumber Daya Alibaba Cloud (ARN) dari peran RAM tersebut. Untuk informasi selengkapnya, lihat Lihat peran RAM.

    2. Saat membuat pekerjaan SQL terjadwal, pada bagian Write Authorization, pilih Custom Role dan masukkan ARN dari peran RAM WriteLogStoreRole. Untuk informasi selengkapnya, lihat Buat pekerjaan SQL terjadwal.