RAM ユーザーに Cloud Firewall のログをクエリおよび分析する権限を付与する - Cloud Firewall

デフォルトでは、Resource Access Management (RAM) ユーザーは Cloud Firewall のログをクエリまたは分析する権限を持っていません。 RAM ユーザーに Cloud Firewall のログをクエリおよび分析する権限を付与したいが、Simple Log Service (SLS) に対する他の権限は付与したくない場合は、RAM コンソールでカスタムポリシーを作成し、そのポリシーを RAM ユーザーにアタッチできます。これにより、RAM ユーザーは最小権限の原則に基づいてログをクエリおよび分析できます。

前提条件

Cloud Firewall のログ分析機能が有効になっていること。詳細については、「概要」をご参照ください。
Cloud Firewall のログ用に作成されたプロジェクトとログストアの名前が取得されていること。
ログ分析機能を有効にすると、Cloud Firewall は専用のプロジェクトと専用のログストアを自動的に作成します。 SLS コンソールにログインして、Cloud Firewall 専用のプロジェクトとログストアを表示できます。
RAM ユーザーが作成されていること。 RAM ユーザーの作成方法の詳細については、「RAM ユーザーの作成」をご参照ください。
システムポリシー AliyunYundunCloudFirewallReadOnlyAccess が RAM ユーザーにアタッチされていること。このポリシーは、Cloud Firewall に対する読み取り専用権限を付与します。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

説明

次のセクションでは、RAM ユーザーに Cloud Firewall のログをクエリおよび分析する権限を付与する方法について説明します。 RAM ユーザーに SLS に対するフル権限または読み取り専用権限を付与する場合は、AliyunLogFullAccess または AliyunLogReadOnlyAccess ポリシーを RAM ユーザーにアタッチできます。

手順

管理者権限を持つ Alibaba Cloud アカウントまたは RAM ユーザーとして、RAM コンソールにログインします。

JSON タブでカスタムポリシーを作成します。

左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。次に、[JSON] タブをクリックします。

次のポリシーコンテンツをコピーしてコードエディターに貼り付けます。

説明

次のポリシーコンテンツの ${Project} と ${Logstore} を、Cloud Firewall 専用の SLS プロジェクトとログストアの名前に置き換えます。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:ListDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:ListSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:GetLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow" // 許可
    },
    {
      "Action": "log:GetLogStoreLogs",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow" // 許可
    }
  ]
}

上部の [最適化] をクリックします。最適化メッセージで、[実行] をクリックしてポリシーを最適化します。
最適化中に、システムは次の操作を実行します。
- 操作と互換性のないリソースまたは条件を分割します。
- リソースを絞り込みます。
- ポリシーステートメントを重複排除またはマージします。
[ポリシーの作成] ページで、[OK] をクリックします。
[ポリシーの作成] ダイアログボックスで、[名前] パラメーターと [説明] パラメーターを設定し、[OK] をクリックします。

カスタムポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
これにより、RAM ユーザーは Cloud Firewall のログをクエリおよび分析できますが、SLS の他の機能は使用できません。

次のステップ

収集されたログをリアルタイムでクエリおよび分析して、トラフィックの例外を監視し、資産を保護できます。ログをクエリする方法の詳細については、「ログのクエリと分析」をご参照ください。