全部產品
Search

搜尋本產品

    Simple Log Service:Log ServiceRAM存取控制許可權配置

    文件中心

    Simple Log Service:Log ServiceRAM存取控制許可權配置

    更新時間:Apr 26, 2026

    在使用Log Service時,對不同的使用人員您可能需要配置不同的存取權限,此時主帳號使用者可以通過對RAM設定不同的權限原則來實現對Log Service資源的存取控制。本文將介紹Log Service中使用各功能所需要的許可權。

    說明

    若您使用RAM,請根據需要向主帳號使用者申請權限原則。授權操作請參考管理RAM使用者的許可權

    系統權限原則

    系統權限原則統一由阿里雲建立,策略的版本更新由阿里雲維護,使用者只能使用不能修改。Log Service的系統權限原則如下:

    • AliyunLogFullAccess:授予管理Log Service的許可權。

    • AliyunLogReadOnlyAccess:授予唯讀訪問Log Service的許可權。

    自訂策略

    自訂策略由使用者管理,策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。當系統策略無法滿足您的需求時,您可以通過建立自訂權限原則實現精微調權限管理。

    關於自訂權限原則的內容,Log Service提供許可權助手功能簡化權限原則配置的擷取。

    許可權助手擷取策略配置的操作步驟

    1. 登入Log Service控制台,在Project列表中單擊目標Project。

    2. 在左側導覽列中,選擇其他 > 許可權助手

    3. 許可權助手頁面,完成如下配置,並單擊下一步

      • 普通項目:普通專案模式包括Log Service的所有功能模組許可權的配置。

        參數

        說明

        預設角色選擇

        不同的角色已配置不同的功能模組,您可以根據需求選擇已預設的角色,也可以自訂選擇功能模組。

        功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。

        資源

        配置功能模組的許可權後,您可以配置許可權能使用的資源。專案名稱和Logstore名稱支援用*號表示,例如:

        • 擁有如下許可權的使用者或角色能動作記錄服務的所有資源。

          "Action": "log:*",
"Resource": "*",

        • 擁有如下許可權的使用者或角色只能操作project01專案下的資源。

          • acs:log:*:*:project/project01
          • acs:log:*:*:project/project01/*

        • 擁有如下許可權的使用者或角色只能操作project01專案下logstore01日誌庫下的資源。

          • acs:log:*:*:project/project01/logstore/logstore01
          • acs:log:*:*:project/project01/logstore/logstore01/*

        限制條件

        根據需求配置限制條件。更多資訊,請參見權限原則基本元素

      • APP:APP模式包括成本管家、日誌審計服務和K8s事件中心的許可權配置。

        配置項

        說明

        APP列表

        請根據需求選擇您要配置的APP及其許可權,許可權包括允許和禁止。

        預設角色選擇

        當APP的許可權選擇允許時,會自動選中相關的功能模組,您也可以自訂選擇。

        功能模組的許可權包括系統管理權限和唯讀許可權,請根據需求選擇。

        資源

        系統根據已選擇的APP指定資源,無法修改。

        限制條件

        根據需求配置限制條件。更多資訊,請參見權限原則基本元素

    4. 預覽權限原則確認規則資訊,複製授權策略,參考建立自訂權限原則進行配置。

    您也可以參考Log Service巨集指令清單進行配置,相關操作如下:

    操作類型

    操作

    描述

    讀操作

    log:GetAlert

    擷取警示規則

    讀操作

    log:GetAppliedConfigs

    擷取已應用的Logtail配置列表

    讀操作

    log:GetAppliedMachineGroups

    通過Logtail配置擷取已綁定的機器組

    讀操作

    log:GetConfig

    擷取Logtail採集配置

    讀操作

    log:GetCursorOrData

    通過時間查詢Cursor

    讀操作

    log:GetDashboard

    擷取指定儀錶盤

    讀操作

    log:GetETL

    擷取資料加工任務

    讀操作

    log:GetIndex

    擷取索引

    讀操作

    log:GetLogging

    擷取服務日誌資訊

    讀操作

    log:GetLogStore

    查看Logstore資訊

    讀操作

    log:GetLogStoreLogs

    查看Logstore監控日誌

    讀操作

    log:GetLogStoreMeteringMode

    查詢Logstore計量模式

    讀操作

    log:GetLogtailPipelineConfig

    擷取Logtail流水線配置

    讀操作

    log:GetMachineGroup

    擷取機器組配置

    讀操作

    log:GetProject

    擷取指定Project

    讀操作

    log:GetProjectPolicy

    查詢Project授權策略

    讀操作

    log:GetSavedSearch

    擷取指定快速查詢

    讀操作

    log:GetScheduledSQL

    擷取定時SQL任務

    讀操作

    log:GetStoreView

    查詢指定資料集

    讀操作

    log:GetStoreViewIndex

    查詢指定資料集索引配置

    讀操作

    log:ListConsumerGroup

    查詢消費組

    讀操作

    log:ListDomains

    查詢自訂網域名

    讀操作

    log:ListLogStores

    列出Logstore

    讀操作

    log:ListMachineGroup

    查詢Project下的機器組

    讀操作

    log:ListMachines

    查詢機器組中的機器列表

    讀操作

    log:ListProject

    列出Project資訊

    讀操作

    log:ListSavedSearch

    查詢快速查詢

    讀操作

    log:ListShards

    查詢Shard列表

    讀操作

    log:ListTagResources

    列出資源標籤

    讀操作

    log:ListProjectsInRecycleBin

    查詢Project資源回收筒

    寫操作

    log::PutProjectTransferAcceleration

    設定傳輸加速功能

    寫操作

    log:ChangeResourceGroup

    修改資源群組

    寫操作

    log:ConsumerGroupHeartBeat

    消費者發送心跳到服務端

    寫操作

    log:ConsumerGroupUpdateCheckPoint

    更新消費進度

    寫操作

    log:CreateConfig

    建立Logtail採集配置

    寫操作

    log:CreateConsumerGroup

    建立消費組

    寫操作

    log:CreateDashboard

    建立儀錶盤

    寫操作

    log:CreateDomain

    建立自訂網域名

    寫操作

    log:CreateIndex

    建立索引

    寫操作

    log:CreateLogging

    建立服務日誌

    寫操作

    log:CreateLogStore

    建立Logstore

    寫操作

    log:CreateLogtailPipelineConfig

    建立Logtail流水線配置

    寫操作

    log:CreateMachineGroup

    建立機器組

    寫操作

    log:CreateMetricStore

    建立時序庫

    寫操作

    log:CreateProject

    建立Project

    寫操作

    log:CreateSavedSearch

    建立快速查詢

    寫操作

    log:CreateScheduledSQL

    建立定時SQL任務

    寫操作

    log:CreateSqlInstance

    建立SQL獨享執行個體

    寫操作

    log:CreateStoreView

    建立資料集

    寫操作

    log:DeleteAlert

    刪除警示規則

    寫操作

    log:DeleteConfig

    刪除Logtail配置

    寫操作

    log:DeleteConsumerGroup

    刪除消費組

    寫操作

    log:DeleteDashboard

    刪除儀錶盤

    寫操作

    log:DeleteDomain

    刪除自訂網域名

    寫操作

    log:DeleteIndex

    刪除索引

    寫操作

    log:DeleteLogStore

    刪除Logstore

    寫操作

    log:DeleteMachineGroup

    刪除機器組

    寫操作

    log:DeleteProject

    刪除指定Project

    寫操作

    log:DeleteProjectPolicy

    刪除Project授權策略

    寫操作

    log:DeleteSavedSearch

    刪除快速查詢

    寫操作

    log:DeleteScheduledSQL

    刪除定時SQL任務

    寫操作

    log:DeleteStoreView

    刪除資料集

    寫操作

    log:DisableAlert

    關閉警示規則

    寫操作

    log:DisableScheduledSQL

    關閉定時SQL

    寫操作

    log:EnableAlert

    開啟警示規則

    寫操作

    log:EnableScheduledSQL

    開啟定時SQL

    寫操作

    log:GetSqlInstance

    查詢SQL獨享執行個體

    寫操作

    log:ListScheduledSQLs

    列出定時SQL任務

    寫操作

    log:MergeShard

    合并Shard

    寫操作

    log:PostLogStoreLogs

    寫入日誌

    寫操作

    log:PutProjectPolicy

    建立Project授權策略

    寫操作

    log:SplitShard

    分裂Shard

    寫操作

    log:TagResources

    綁定標籤

    寫操作

    log:UntagResources

    解除綁定標籤

    寫操作

    log:UpdateConfig

    更新Logtail採集配置

    寫操作

    log:UpdateConsumerGroup

    更新消費者組

    寫操作

    log:UpdateDashboard

    更新儀錶盤

    寫操作

    log:UpdateIndex

    更新索引

    寫操作

    log:UpdateLogging

    更新服務日誌配置

    寫操作

    log:UpdateLogStore

    更新Logstore

    寫操作

    log:UpdateLogStoreMeteringMode

    更新Logstore計量模式

    寫操作

    log:UpdateLogtailPipelineConfig

    更新Logtail流水線配置

    寫操作

    log:UpdateMachineGroup

    修改機器組

    寫操作

    log:UpdateMachineGroupMachine

    修改機器組機器列表

    寫操作

    log:UpdateProject

    更新Project

    寫操作

    log:UpdateSavedSearch

    更新快速查詢

    寫操作

    log:UpdateScheduledSQL

    更新定時SQL任務

    寫操作

    log:UpdateSqlInstance

    更新SQL獨享執行個體

    寫操作

    log:UpdateStoreView

    更新資料集配置

    列表操作

    log:ListConfig

    查詢Logtail配置列表

    列表操作

    log:ListDashboard

    查詢儀錶盤

    列表操作

    log:ListDownloadJobs

    列出日誌下載任務

    列表操作

    log:ListETLs

    列出資料加工任務

    列表操作

    log:ListOSSExports

    列出OSS投遞任務

    列表操作

    log:ListOSSHDFSExports

    列出OSS-HDFS投遞任務

    列表操作

    log:ListOSSIngestions

    列出OSS匯入任務

    列表操作

    log:ListStoreViews

    查詢資料集列表

    常見自訂權限原則情境及樣本

    Project列表的查看許可權

    使用阿里雲帳號授予RAM使用者以下許可權:

    • RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。

    滿足上述許可權的權限原則如下: 

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": [
        "acs:log:*:*:project/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    Project唯讀許可權

    使用阿里雲帳號授予RAM使用者以下許可權:

    • RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。

    • RAM使用者具備當前阿里雲帳號下指定的Project的唯讀許可權。

    說明

    如果只授予Project唯讀許可權,則該RAM使用者仍無許可權查看Project下的日誌,還需授予Logstore唯讀許可權。

    同時滿足上述許可權的權限原則如下: 

    {
   "Version": "1",
   "Statement": [
     {
       "Action": ["log:ListProject"],
       "Resource": ["acs:log:*:*:project/*"],
       "Effect": "Allow"
      },
     {
       "Action": [
         "log:Get*",
         "log:List*"
       ],
       "Resource": "acs:log:*:*:project/<指定的Project名稱>/*",
       "Effect": "Allow"
     }
   ]
 }

    指定Logstore的唯讀許可權和快速查詢的建立、使用許可權

    使用阿里雲帳號授予RAM使用者以下許可權:

    • RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。

    • RAM使用者具備指定的Logstore的唯讀許可權,同時具備建立並管理快速查詢的許可權。

    同時滿足上述許可權的權限原則如下: 

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<指定的Project名稱>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/dashboard",
        "acs:log:*:*:project/<指定的Project名稱>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Create*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch",
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    指定Logstore的唯讀許可權及指定Project中快速查詢和儀錶盤的唯讀許可權

    使用阿里雲帳號授予RAM使用者以下許可權:

    • RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。

    • RAM使用者具備指定的Logstore的唯讀許可權,同時具備查看該Logstore所屬的Project中所有的快速查詢和儀錶盤列表的許可權。

    同時滿足上述許可權的權限原則如下: 

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<指定的Project名稱>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/dashboard",
        "acs:log:*:*:project/<指定的Project名稱>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch",
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    指定Project的寫入許可權

    授予RAM使用者向指定Project寫入資料的許可權,不包含查詢等其他動作許可權。 

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
      "Resource": "acs:log:*:*:project/<指定的project名稱>/*",
      "Effect": "Allow"
    }
  ]
}

    指定Logstore的寫入許可權

    授予RAM使用者向指定Logstore寫入資料的許可權,不包含查詢等其他動作許可權。 

    {
  "Version":"1",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "log:PostLogStoreLogs"
      ],
      "Resource":[
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>"
      ]
    }
  ]
}

    指定Project的消費許可權

    授予RAM使用者消費指定Project資料的許可權,不包含資料寫入、查詢等其他動作許可權。 

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": "acs:log:*:*:project/<指定的project名稱>/*",
      "Effect": "Allow"
    }
  ]
}

    指定Logstore的消費許可權

    授予RAM使用者消費指定Logstore資料的許可權,不包含資料寫入、查詢等其他動作許可權。 

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的project名稱>/logstore/<指定的Logstore名稱>",
        "acs:log:*:*:project/<指定的project名稱>/logstore/<指定的Logstore名稱>/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    指定Logstore必須啟用加密配置

    授予RAM使用者該權限原則後,RAM使用者建立或者修改Logstore時必須指定加密配置。 未授予該權限原則的RAM使用者,建立或修改Logstore時無需指定加密配置。

    說明

    您可以自行指定Project名稱和Logstore名稱,也可以用星號(*)進行模糊比對。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateLogStore",
        "log:UpdateLogStore"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>",
        "acs:log:*:*:project/<指定的project名稱>/logstore/*"
      ],
      "Condition": {
        "Bool": {
          "log:Encrypted": "true"
        }
      }
    }
  ]
}

    使用日誌應用所需的許可權

    如果使用了以下日誌應用或功能,需要對子帳號或者角色授予相應的許可權。

    • 通用Database Audit

    • 移動營運監控

    • Flowlog日誌中心

    • 日誌分析 For AWS CloudTrail

    • SREWorks

    • 通用主機審計

    • 智能異常分析

    • 應用自訂儀錶盤

    • 儀錶盤示範列表

    以下是使用日誌應用所需的許可權配置。

    • 唯讀許可權

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetResource",
                "log:ListResources",
                "log:GetResourceRecord",
                "log:ListResourceRecords"
            ],
            "Resource": [
                "acs:log:*:*:resource/*"
            ]
        }
    ]
}

    • 系統管理權限

      {
    "Version": "1",
    "Statement": [
          {
      "Effect": "Allow",
      "Action": [
        "log:*"
      ],
      "Resource": [
        "acs:log:*:*:resource/*"
      ]
    }
    ]
}