RAM ユーザーへのログクエリおよび分析機能の使用権限の付与 - Cloud Firewall

デフォルトでは、Resource Access Management (RAM) ユーザーは Cloud Firewall のログをクエリまたは分析する権限を持っていません。RAM ユーザーに Simple Log Service (SLS) へのより広範なアクセスを許可することなく、これらの権限のみを付与するには、カスタム RAM ポリシーを作成し、RAM ユーザーにアタッチします。これは最小権限の原則に従います。

代わりに、SLS へのフルアクセスまたは読み取り専用アクセスを付与するには、AliyunLogFullAccess または AliyunLogReadOnlyAccess システム権限ポリシーを RAM ユーザーにアタッチします。以下の手順では、より対象を絞ったカスタムポリシーのパスについて説明します。

前提条件

開始する前に、以下を確認してください。

Cloud Firewall のログ分析機能が有効になっていること。詳細については、「概要」をご参照ください。
Cloud Firewall 専用の SLS プロジェクトと Logstore の名前。ログ分析を有効にすると、Cloud Firewall はこれらのリソースを自動的に作成します。SLS コンソールにログインして確認します。
RAM ユーザーがすでに作成されていること。詳細については、「RAM ユーザーの作成」をご参照ください。
Cloud Firewall への読み取り専用アクセスを付与するシステム権限ポリシー AliyunYundunCloudFirewallReadOnlyAccess が RAM ユーザーにアタッチされていること。詳細については、「RAM ユーザーへの権限付与」をご参照ください。

カスタムポリシーの作成とアタッチ

ステップ 1：カスタムポリシーの作成

Alibaba Cloud アカウントまたは管理権限を持つ RAM ユーザーとして、RAM コンソールにログインします。
左側のナビゲーションウィンドウで、権限＞ ポリシー を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックし、次に [JSON] タブをクリックします。

以下のポリシーコンテンツをコピーし、コードエディタに貼り付けます。

${Project} と ${Logstore} を、Cloud Firewall 専用の SLS プロジェクトと Logstore の名前に置き換えます。

このポリシーは、プロジェクトアクセス、ログクエリ用 Logstore アクセス、ダッシュボードアクセス、クイック検索アクセスという 4 つの権限グループを付与します。各ステートメントグループには、明確にするために Sid がラベル付けされています。

{
  "Version": "1",
  "Statement": [
    {
      "Sid": "ProjectAccess",
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Sid": "LogstoreList",
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Sid": "LogstoreIndexAccess",
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore",
      "Effect": "Allow"
    },
    {
      "Sid": "DashboardAccess",
      "Action": "log:ListDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Sid": "DashboardWrite",
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Sid": "DashboardCreate",
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Sid": "SavedSearchWrite",
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Sid": "SavedSearchList",
      "Action": "log:ListSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Sid": "SavedSearchUpdate",
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Sid": "LogstoreRead",
      "Action": "log:GetLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Sid": "LogstoreQuery",
      "Action": "log:GetLogStoreLogs",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    }
  ]
}

エディターの上部にある[オプティマイズ]をクリックします。 オプティマイズ メッセージで、[実行]をクリックします。
システムは以下の操作を実行します。
- アクションと互換性のないリソースまたは条件を分割します。
- リソースを絞り込みます。
- ポリシー文の重複排除またはマージを行います。
「ポリシーの作成」ページで、[OK] をクリックします。
[ポリシーの作成] ダイアログボックスで、[名前] と [説明] パラメーターを設定し、[OK] をクリックします。

ステップ 2：RAM ユーザーへのポリシーのアタッチ

カスタムポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーへの権限付与」をご参照ください。

RAM ユーザーは Cloud Firewall のログをクエリおよび分析できるようになりますが、その他の SLS 機能にはアクセスできません。

次のステップ

収集されたログをリアルタイムでクエリおよび分析し、トラフィック異常を監視して資産を保護します。詳細については、「ログのクエリと分析」をご参照ください。