全部產品
Search

搜尋本產品

    ActionTrail:操作事件投遞的系統權限原則

    文件中心

    ActionTrail:操作事件投遞的系統權限原則

    更新時間:Jul 01, 2024

    本文為您介紹操作事件投遞的系統權限原則(AliyunActionTrailDeliveryPolicy)的應用情境和許可權說明。

    應用情境

    • 訪問Log ServiceSLS(Log Service)

      當您建立跟蹤並設定了SLS Project地址用於接收操作事件時,Action Trail需要向您指定的SLS Project建立Logstore並寫入操作事件。此時需要訪問Log ServiceSLS的相關許可權。

    • 訪問Object Storage Service(Object Storage Service)

      當您建立跟蹤並設定了OSS儲存空間用於接收操作事件時,Action Trail需要向您指定的OSS儲存空間寫入操作事件。此時需要訪問Object Storage Service的相關許可權。

    • 訪問MaxCompute(MaxCompute)

      當您建立跟蹤並設定了MaxCompute專案用於接收操作事件時,Action Trail需要向您指定的MaxCompute專案表寫入操作事件。此時需要訪問MaxCompute的相關許可權。

    權限原則說明

    權限原則名稱:AliyunActionTrailDeliveryPolicy

    權限原則內容:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject",
                "oss:GetBucketInfo",
                "oss:GetBucketLifecycle",
                "oss:GetBucketLocation",
                "kms:ListKeys",
                "kms:Listalias",
                "kms:ListAliasesByKeyId",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:GetProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex",
                "log:GetLogStoreLogs"
            ],
            "Resource": [
                "acs:log:*:*:project/*/logstore/actiontrail_*",
                "acs:log:*:*:project/*/logstore/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource": "acs:log:*:*:project/*/dashboard/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch"
            ],
            "Resource": [
                "acs:log:*:*:project/*/savedsearch/actiontrail_*",
                "acs:log:*:*:project/*/savedsearch/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": "odps:updateUsersToAdmin",
            "Resource": "acs:odps:*:*:projects/actiontrail_*"
        }
    ]
}

    權限原則說明:Action Trail使用此策略訪問SLS和OSS中的資源。許可權說明如下表所示。

    Action

    說明

    oss:GetBucketLocation

    查詢OSS所在地區

    oss:PutObject

    向OSS寫入操作事件

    oss:GetBucketInfo

    查詢OSS Bucket的相關資訊

    oss:GetBucketLifecycle

    查詢OSS Bucket生命週期

    kms:ListKeys

    查詢密鑰列表

    kms:Listalias

    查詢別名列表

    kms:ListAliasesByKeyId

    查詢指定密鑰的別名

    kms:DescribeKey

    查詢密鑰詳情

    kms:GenerateDataKey

    產生資料密鑰

    kms:Decrypt

    將密文解密為明文

    log:GetProject

    查詢Project是否存在

    log:PostLogStoreLogs

    向SLS寫入操作事件

    log:GetLogstore

    查詢Logstore是否存在

    log:CreateLogstore

    建立Logstore

    log:CreateIndex

    建立索引

    log:UpdateIndex

    更新索引

    log:GetIndex

    查詢索引

    log:GetLogStoreLogs

    查詢Logstore存放的日誌

    log:CreateDashboard

    建立看板

    log:UpdateDashboard

    更新看板

    log:CreateSavedSearch

    建立快速查詢

    log:UpdateSavedSearch

    更新快速查詢

    odps:updateUsersToAdmin

    更新專案管理角色成員