全部產品
Search

搜尋本產品

    Simple Log Service:跨Project監控資料授權

    文件中心

    Simple Log Service:跨Project監控資料授權

    更新時間:Sep 04, 2025

    當警示監控規則跨Project、地區和阿里雲帳號監控目標時,Log Service需要通過扮演RAM角色的方式訪問日誌庫或時序庫,您需要進行相應的授權。

    使用情境

    授權方式

    適用情境

    預設

    對警示監控規則所在的同一個Project內,不同日誌庫和時序庫進行協同警示監控。

    內建角色

    對警示監控規則所在同一個阿里雲帳號內,不同Project的日誌庫和時序庫進行協同警示監控。

    自訂角色

    對警示監控規則所在不同阿里雲帳號進行監控,或者對RAM角色的存取控制許可權有更精細的要求。

    步驟一:配置授權

    1. 添加查詢統計。具體步驟,請參見建立警示監控規則

    2. 配置授權方式。

      預設授權

      對同一個Project內的不同日誌庫和時序庫進行警示監控時,使用預設授權方式。

      進階配置頁簽中,選擇授權方式預設image

      內建角色授權

      對同一個阿里雲帳號的不同日誌庫和時序庫進行警示監控時,使用內建角色授權。

      進階配置頁簽中,將授權方式配置為內建角色。如果是首次配置,需要使用阿里雲主帳號按照頁面提示完成授權。授權後,Log Service將建立名稱為AliyunSLSAlertMonitorRole的RAM角色,Log Service將扮演此角色以讀取源日誌庫中的資料。image

      自訂角色授權(同帳號)

      對同一個阿里雲帳號下的不同日誌庫或指標庫進行警示監控時,您可以通過自訂角色實現警示監控。

      1. 建立可信實體為阿里雲服務的RAM角色,其中受信服務請選擇Log Service

      2. 建立一個自訂權限原則,其中在指令碼編輯頁簽,請使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則

        重要

        Project名稱需根據實際情況替換。如果您需要更細粒度的授權,例如只允許在指定Project下建立監控規則,則可以在下述策略的Resource中指定具體的Project,例如acs:log:*:*:project/my-project

        {
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:log:*:*:*"
      ]
    },
    {
      "Action": [
        "log:ListLogStores",
        "log:GetLogStoreLogs",
        "log:GetIndex"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:log:*:*:project/Project名稱/*"
      ]
    }
  ],
  "Version": "1"
}

      3. 為RAM角色添加建立的自訂許可權。具體操作,請參見為RAM角色授權

      後續操作

      1. 擷取RAM角色標識(ARN),具體操作,請參見查看RAM角色

      2. 在使用自訂角色授權時,輸入該RAM角色標識。更多資訊,請參見建立警示監控規則

        image

      自訂角色授權(跨帳號)

      對跨阿里雲帳號下的不同日誌庫或指標庫進行警示監控時,您可以通過自訂角色實現警示監控。例如在阿里雲帳號A中建立警示,監控阿里雲帳號B下的日誌庫或指標庫。

      在阿里雲帳號B進行以下操作:

      1. 建立可信實體為阿里雲服務的RAM角色,其中受信服務請選擇Log Service

      2. 修改RAM角色的信任策略。具體操作,請參見修改RAM角色的信任策略

        重要

        請根據實際情況替換阿里雲帳號A的ID。您可以在帳號中心中查看阿里雲帳號ID。

        {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "阿里雲帳號A的ID@log.aliyuncs.com",
                    "log.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}

      3. 建立一個自訂權限原則,其中在指令碼編輯頁簽,請使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則

        重要

        將配置框中的原有指令碼替換為如下內容。其中,Project名稱需根據實際情況替換。如果您想要更細粒度的授權,例如只允許在指定Project下建立監控規則,則可以在下述策略的Resource中指定具體的Project,例如acs:log:*:*:project/my-project

        {
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:log:*:*:*"
      ]
    },
    {
      "Action": [
        "log:ListLogStores",
        "log:GetLogStoreLogs",
        "log:GetIndex"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:log:*:*:project/Project名稱/*"
      ]
    }
  ],
  "Version": "1"
}

      4. 為RAM角色添加建立的自訂許可權。具體操作,請參見為RAM角色授權

      5. 擷取RAM角色標識(ARN),具體操作,請參見查看RAM角色

      後續操作

      1. 擷取RAM角色標識(ARN),具體操作,請參見查看RAM角色

      2. 在阿里雲帳號A中建立警示時,選擇自訂角色授權,角色 ARN使用在阿里雲帳號B中建立的RAM角色標識。更多資訊,請參見建立警示監控規則

        image

    步驟二:為RAM使用者授權

    設定內建角色自訂角色後,如果需要使用RAM使用者查詢時序庫或日誌庫,必須使用阿里雲主帳號為RAM使用者添加如下權限原則,用於扮演相應的角色。為RAM使用者授權的操作步驟,請參見為RAM使用者授權

    {
     "Action": "ram:PassRole",
     "Effect": "Allow",
     "Resource": "acs:ram::阿里雲帳號ID:角色ARN"
 }