Cara memberikan izin kueri dan analisis log kepada RAM user - Web Application Firewall

Agar RAM user dapat menggunakan layanan kueri dan analisis log Web Application Firewall (WAF), Akun Alibaba Cloud harus memberikan izin yang diperlukan.

Latar Belakang

Izin berikut diperlukan untuk mengaktifkan dan menggunakan layanan kueri dan analisis log WAF.

Operasi	Jenis akun yang didukung
Aktifkan Log Service (operasi global satu kali)	Akun Alibaba Cloud
Otorisasi WAF untuk menulis data log ke Logstore khusus di Log Service secara real time (operasi global satu kali)	Akun Alibaba Cloud RAM user dengan izin `AliyunLogFullAccess` RAM user dengan izin spesifik
Gunakan fitur kueri dan analisis log	Akun Alibaba Cloud RAM user dengan izin `AliyunLogFullAccess` RAM user dengan izin spesifik

Anda dapat memberikan izin kepada RAM user sesuai kebutuhan bisnis Anda.

Skenario	Izin	Prosedur
Berikan RAM user semua izin operasional untuk Log Service.	Izin `AliyunLogFullAccess`, yang memberikan akses penuh untuk manajemen Log Service	Untuk langkah-langkah detail, lihat Berikan izin kepada RAM user.
Berikan RAM user izin untuk melihat log setelah layanan log WAF diaktifkan dan diotorisasi.	Izin `AliyunLogReadOnlyAccess`, yang memberikan akses read-only ke Log Service	Untuk langkah-langkah detail, lihat Berikan izin kepada RAM user.
Berikan RAM user izin hanya untuk mengaktifkan dan menggunakan layanan kueri dan analisis log WAF, tanpa memberikan izin manajemen Log Service lainnya.	Buat kebijakan kustom dan sambungkan ke RAM user tersebut.	Untuk instruksi detail, lihat bagian Prosedur dalam topik ini.

Prosedur

Masuk ke Konsol RAM menggunakan Akun Alibaba Cloud.
Pada panel navigasi sebelah kiri, pilih Permissions > Policies.
Pada halaman Policies, klik Create Policy.
Pada halaman Create Policy, klik tab Script.

Masukkan konten kebijakan berikut dan klik OK.

Penting

Pada kebijakan berikut, ganti ${Project} dan ${Logstore} dengan nama Project dan Logstore khusus WAF Anda.

{
  "Version": "1",
  "Statement": [
      {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateProject",
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    }
  ]
}

Pada dialog Create Policy, masukkan Name dan Description untuk kebijakan tersebut, lalu klik OK.
Pada halaman Identities > Users, temukan RAM user yang akan diberi otorisasi, lalu klik Add Permissions pada kolom Actions.
Pilih kebijakan kustom yang telah Anda buat, lalu klik OK.
Setelah diotorisasi, RAM user tersebut dapat mengaktifkan dan menggunakan layanan kueri dan analisis log WAF, tetapi tidak dapat melakukan operasi lain di Log Service.