Pengguna RAM hanya dapat menanyakan dan menganalisis log di Web Application Firewall (WAF) setelah diberikan izin yang diperlukan menggunakan akun Alibaba Cloud.
Informasi latar belakang
Tabel berikut menjelaskan jenis operasi dan akun yang diperlukan untuk melakukan operasi tersebut.
Izin kepada pengguna RAM dapat diberikan sesuai dengan kebutuhan bisnis Anda.
| Operasi | Akun yang Dibutuhkan |
| Aktifkan Layanan Log. Operasi ini hanya perlu dilakukan sekali. | Akun Alibaba Cloud |
| Otorisasi WAF untuk menulis data log ke Logstore khusus di Layanan Log secara real-time. Operasi ini hanya perlu dilakukan sekali. |
|
| Kueri dan analisis log. |
|
| Skenario | Izin | Prosedur |
| Berikan semua izin operasi pada Layanan Log kepada pengguna RAM. | AliyunLogFullAccess | Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM. |
| Berikan izin untuk melihat log kepada pengguna RAM setelah menggunakan akun Alibaba Cloud untuk mengaktifkan Layanan Log untuk WAF dan mengotorisasi WAF untuk mengakses sumber daya cloud yang diperlukan. | AliyunLogReadOnlyAccess | Untuk informasi lebih lanjut, lihat Berikan Izin kepada Pengguna RAM. |
| Berikan hanya izin untuk mengaktifkan dan menggunakan Layanan Log untuk WAF kepada pengguna RAM. Pengguna RAM tidak diberikan izin manajemen lainnya pada Layanan Log. | Izin yang didefinisikan dalam kebijakan kustom | Untuk informasi lebih lanjut tentang cara membuat kebijakan kustom, lihat prosedur berikut. |
Prosedur
Masuk ke Konsol RAM sebagai pengguna RAM dengan hak administratif.
Di panel navigasi sebelah kiri, pilih .
Pada halaman Policies, klik Create Policy.
Pada halaman Create Policy, klik tab JSON.
- Masukkan policy content berikut dan klik Next: Edit Basic Information. Penting Ganti
${Project}dan${Logstore}dalam konten kebijakan berikut dengan nama Proyek Layanan Log dan penyimpanan log yang didedikasikan untuk WAF.{ "Version": "1", "Statement": [ { "Action": "log:GetProject", "Resource": "acs:log:*:*:project/${Project}", "Effect": "Allow" }, { "Action": "log:CreateProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" }, { "Action": "log:ListLogStores", "Resource": "acs:log:*:*:project/${Project}/logstore/*", "Effect": "Allow" }, { "Action": "log:CreateLogStore", "Resource": "acs:log:*:*:project/${Project}/logstore/*", "Effect": "Allow" }, { "Action": "log:GetIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:CreateIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:UpdateIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:CreateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:UpdateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" } ] } Dalam kotak dialog Create Policy, konfigurasikan parameter Name dan Description, lalu klik OK.
- Di panel navigasi sebelah kiri, pilih . Pada halaman yang muncul, temukan pengguna RAM yang ingin Anda otorisasi dan klik Add Permissions di kolom Tindakan.
- Di panel Tambah Izin, pilih kebijakan kustom yang telah Anda buat, lalu klik OK.Setelah pengguna RAM diberi otorisasi, pengguna RAM dapat mengaktifkan dan menggunakan Layanan Log untuk WAF. Namun, pengguna RAM tidak dapat menggunakan fitur lain dari Layanan Log.