Log ServiceRAM存取控制許可權配置 - Simple Log Service

在使用Log Service時，對不同的使用人員您可能需要配置不同的存取權限，此時主帳號使用者可以通過對RAM設定不同的權限原則來實現對Log Service資源的存取控制。本文將介紹Log Service中使用各功能所需要的許可權。

說明

若您使用RAM，請根據需要向主帳號使用者申請權限原則。授權操作請參考為RAM使用者授權。

系統權限原則

系統權限原則統一由阿里雲建立，策略的版本更新由阿里雲維護，使用者只能使用不能修改。Log Service的系統權限原則如下：

AliyunLogFullAccess：授予管理Log Service的許可權。
AliyunLogReadOnlyAccess：授予唯讀訪問Log Service的許可權。

自訂策略

自訂策略由使用者管理，策略的版本更新由使用者維護。使用者可以自主建立、更新和刪除自訂策略。當系統策略無法滿足您的需求時，您可以通過建立自訂權限原則實現精微調權限管理。

關於自訂權限原則的內容，Log Service提供許可權助手功能簡化權限原則配置的擷取。

許可權助手擷取策略配置的操作步驟

登入Log Service控制台，在Project列表中單擊目標Project。
在左側導覽列中，選擇其他 > 許可權助手。

在許可權助手頁面，完成如下配置，並單擊下一步。

普通專案：普通專案模式包括Log Service的所有功能模組許可權的配置。

參數	說明
預設角色選擇	不同的角色已配置不同的功能模組，您可以根據需求選擇已預設的角色，也可以自訂選擇功能模組。功能模組的許可權包括系統管理權限和唯讀許可權，請根據需求選擇。
資源	配置功能模組的許可權後，您可以配置許可權能使用的資源。專案名稱和Logstore名稱支援用``號表示，例如：擁有如下許可權的使用者或角色能動作記錄服務的所有資源。 `"Action": "log:", "Resource": "",` 擁有如下許可權的使用者或角色只能操作project01專案下的資源。 `acs:log:::project/project01` `acs:log:::project/project01/` 擁有如下許可權的使用者或角色只能操作project01專案下logstore01日誌庫下的資源。 `acs:log:::project/project01/logstore/logstore01` `acs:log:::project/project01/logstore/logstore01/*`
限制條件	根據需求配置限制條件。更多資訊，請參見權限原則基本元素。

APP：APP模式包括成本管家、日誌審計服務和K8s事件中心的許可權配置。

配置項	說明
APP列表	請根據需求選擇您要配置的APP及其許可權，許可權包括允許和禁止。
預設角色選擇	當APP的許可權選擇允許時，會自動選中相關的功能模組，您也可以自訂選擇。功能模組的許可權包括系統管理權限和唯讀許可權，請根據需求選擇。
資源	系統根據已選擇的APP指定資源，無法修改。
限制條件	根據需求配置限制條件。更多資訊，請參見權限原則基本元素。

預覽權限原則確認規則資訊，複製授權策略，參考建立自訂權限原則進行配置。

您也可以參考Log Service巨集指令清單進行配置，相關操作如下：

操作類型	操作	描述
讀操作	log:GetAlert	擷取警示規則
讀操作	log:GetAppliedConfigs	擷取已應用的Logtail配置列表
讀操作	log:GetAppliedMachineGroups	通過Logtail配置擷取已綁定的機器組
讀操作	log:GetConfig	擷取Logtail採集配置
讀操作	log:GetCursorOrData	通過時間查詢Cursor
讀操作	log:GetDashboard	擷取指定儀錶盤
讀操作	log:GetETL	擷取資料加工任務
讀操作	log:GetIndex	擷取索引
讀操作	log:GetLogging	擷取服務日誌資訊
讀操作	log:GetLogStore	查看Logstore資訊
讀操作	log:GetLogStoreLogs	查看Logstore監控日誌
讀操作	log:GetLogStoreMeteringMode	查詢Logstore計量模式
讀操作	log:GetLogtailPipelineConfig	擷取Logtail流水線配置
讀操作	log:GetMachineGroup	擷取機器組配置
讀操作	log:GetProject	擷取指定Project
讀操作	log:GetProjectPolicy	查詢Project授權策略
讀操作	log:GetSavedSearch	擷取指定快速查詢
讀操作	log:GetScheduledSQL	擷取定時SQL任務
讀操作	log:GetStoreView	查詢指定資料集
讀操作	log:GetStoreViewIndex	查詢指定資料集索引配置
讀操作	log:ListConsumerGroup	查詢消費組
讀操作	log:ListDomains	查詢自訂網域名
讀操作	log:ListLogStores	列出Logstore
讀操作	log:ListMachineGroup	查詢Project下的機器組
讀操作	log:ListMachines	查詢機器組中的機器列表
讀操作	log:ListProject	列出Project資訊
讀操作	log:ListSavedSearch	查詢快速查詢
讀操作	log:ListShards	查詢Shard列表
讀操作	log:ListTagResources	列出資源標籤
讀操作	log:ListProjectsInRecycleBin	查詢Project資源回收筒
寫操作	log::PutProjectTransferAcceleration	設定傳輸加速功能
寫操作	log:ChangeResourceGroup	修改資源群組
寫操作	log:ConsumerGroupHeartBeat	消費者發送心跳到服務端
寫操作	log:ConsumerGroupUpdateCheckPoint	更新消費進度
寫操作	log:CreateConfig	建立Logtail採集配置
寫操作	log:CreateConsumerGroup	建立消費組
寫操作	log:CreateDashboard	建立儀錶盤
寫操作	log:CreateDomain	建立自訂網域名
寫操作	log:CreateIndex	建立索引
寫操作	log:CreateLogging	建立服務日誌
寫操作	log:CreateLogStore	建立Logstore
寫操作	log:CreateLogtailPipelineConfig	建立Logtail流水線配置
寫操作	log:CreateMachineGroup	建立機器組
寫操作	log:CreateMetricStore	建立時序庫
寫操作	log:CreateProject	建立Project
寫操作	log:CreateSavedSearch	建立快速查詢
寫操作	log:CreateScheduledSQL	建立定時SQL任務
寫操作	log:CreateSqlInstance	建立SQL獨享執行個體
寫操作	log:CreateStoreView	建立資料集
寫操作	log:DeleteAlert	刪除警示規則
寫操作	log:DeleteConfig	刪除Logtail配置
寫操作	log:DeleteConsumerGroup	刪除消費組
寫操作	log:DeleteDashboard	刪除儀錶盤
寫操作	log:DeleteDomain	刪除自訂網域名
寫操作	log:DeleteIndex	刪除索引
寫操作	log:DeleteLogStore	刪除Logstore
寫操作	log:DeleteMachineGroup	刪除機器組
寫操作	log:DeleteProject	刪除指定Project
寫操作	log:DeleteProjectPolicy	刪除Project授權策略
寫操作	log:DeleteSavedSearch	刪除快速查詢
寫操作	log:DeleteScheduledSQL	刪除定時SQL任務
寫操作	log:DeleteStoreView	刪除資料集
寫操作	log:DisableAlert	關閉警示規則
寫操作	log:DisableScheduledSQL	關閉定時SQL
寫操作	log:EnableAlert	開啟警示規則
寫操作	log:EnableScheduledSQL	開啟定時SQL
寫操作	log:GetSqlInstance	查詢SQL獨享執行個體
寫操作	log:ListScheduledSQLs	列出定時SQL任務
寫操作	log:MergeShard	合并Shard
寫操作	log:PostLogStoreLogs	寫入日誌
寫操作	log:PutProjectPolicy	建立Project授權策略
寫操作	log:SplitShard	分裂Shard
寫操作	log:TagResources	綁定標籤
寫操作	log:UntagResources	解除綁定標籤
寫操作	log:UpdateConfig	更新Logtail採集配置
寫操作	log:UpdateConsumerGroup	更新消費者組
寫操作	log:UpdateDashboard	更新儀錶盤
寫操作	log:UpdateIndex	更新索引
寫操作	log:UpdateLogging	更新服務日誌配置
寫操作	log:UpdateLogStore	更新Logstore
寫操作	log:UpdateLogStoreMeteringMode	更新Logstore計量模式
寫操作	log:UpdateLogtailPipelineConfig	更新Logtail流水線配置
寫操作	log:UpdateMachineGroup	修改機器組
寫操作	log:UpdateMachineGroupMachine	修改機器組機器列表
寫操作	log:UpdateProject	更新Project
寫操作	log:UpdateSavedSearch	更新快速查詢
寫操作	log:UpdateScheduledSQL	更新定時SQL任務
寫操作	log:UpdateSqlInstance	更新SQL獨享執行個體
寫操作	log:UpdateStoreView	更新資料集配置
列表操作	log:ListConfig	查詢Logtail配置列表
列表操作	log:ListDashboard	查詢儀錶盤
列表操作	log:ListDownloadJobs	列出日誌下載任務
列表操作	log:ListETLs	列出資料加工任務
列表操作	log:ListOSSExports	列出OSS投遞任務
列表操作	log:ListOSSHDFSExports	列出OSS-HDFS投遞任務
列表操作	log:ListOSSIngestions	列出OSS匯入任務
列表操作	log:ListStoreViews	查詢資料集列表

常見自訂權限原則情境及樣本

Project列表的查看許可權

使用阿里雲帳號授予RAM使用者以下許可權：

RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。

滿足上述許可權的權限原則如下：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": [
        "acs:log:*:*:project/*"
      ],
      "Effect": "Allow"
    }
  ]
}

Project唯讀許可權

使用阿里雲帳號授予RAM使用者以下許可權：

RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。
RAM使用者具備當前阿里雲帳號下指定的Project的唯讀許可權。

說明

如果只授予Project唯讀許可權，則該RAM使用者仍無許可權查看Project下的日誌，還需授予Logstore唯讀許可權。

同時滿足上述許可權的權限原則如下：

{
   "Version": "1",
   "Statement": [
     {
       "Action": ["log:ListProject"],
       "Resource": ["acs:log:*:*:project/*"],
       "Effect": "Allow"
      },
     {
       "Action": [
         "log:Get*",
         "log:List*"
       ],
       "Resource": "acs:log:*:*:project/<指定的Project名稱>/*",
       "Effect": "Allow"
     }
   ]
 }

指定Logstore的唯讀許可權和快速查詢的建立、使用許可權

使用阿里雲帳號授予RAM使用者以下許可權：

RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。
RAM使用者具備指定的Logstore的唯讀許可權，同時具備建立並管理快速查詢的許可權。

同時滿足上述許可權的權限原則如下：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<指定的Project名稱>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/dashboard",
        "acs:log:*:*:project/<指定的Project名稱>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Create*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch",
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

指定Logstore的唯讀許可權及指定Project中快速查詢和儀錶盤的唯讀許可權

使用阿里雲帳號授予RAM使用者以下許可權：

RAM使用者具備當前阿里雲帳號下的Project列表的查看許可權。
RAM使用者具備指定的Logstore的唯讀許可權，同時具備查看該Logstore所屬的Project中所有的快速查詢和儀錶盤列表的許可權。

同時滿足上述許可權的權限原則如下：

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<指定的Project名稱>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/dashboard",
        "acs:log:*:*:project/<指定的Project名稱>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch",
        "acs:log:*:*:project/<指定的Project名稱>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

指定Project的寫入許可權

授予RAM使用者向指定Project寫入資料的許可權，不包含查詢等其他動作許可權。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
      "Resource": "acs:log:*:*:project/<指定的project名稱>/*",
      "Effect": "Allow"
    }
  ]
}

指定Logstore的寫入許可權

授予RAM使用者向指定Logstore寫入資料的許可權，不包含查詢等其他動作許可權。

{
  "Version":"1",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "log:PostLogStoreLogs"
      ],
      "Resource":[
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>"
      ]
    }
  ]
}

指定Project的消費許可權

授予RAM使用者消費指定Project資料的許可權，不包含資料寫入、查詢等其他動作許可權。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": "acs:log:*:*:project/<指定的project名稱>/*",
      "Effect": "Allow"
    }
  ]
}

指定Logstore的消費許可權

授予RAM使用者消費指定Logstore資料的許可權，不包含資料寫入、查詢等其他動作許可權。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的project名稱>/logstore/<指定的Logstore名稱>",
        "acs:log:*:*:project/<指定的project名稱>/logstore/<指定的Logstore名稱>/*"
      ],
      "Effect": "Allow"
    }
  ]
}

指定Logstore必須啟用加密配置

授予RAM使用者該權限原則後，RAM使用者建立或者修改Logstore時必須指定加密配置。未授予該權限原則的RAM使用者，建立或修改Logstore時無需指定加密配置。

說明

您可以自行指定Project名稱和Logstore名稱，也可以用星號（*）進行模糊比對。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateLogStore",
        "log:UpdateLogStore"
      ],
      "Resource": [
        "acs:log:*:*:project/<指定的Project名稱>/logstore/<指定的Logstore名稱>",
        "acs:log:*:*:project/<指定的project名稱>/logstore/*"
      ],
      "Condition": {
        "Bool": {
          "log:Encrypted": "true"
        }
      }
    }
  ]
}

使用日誌應用所需的許可權

如果使用了以下日誌應用或功能，需要對子帳號或者角色授予相應的許可權。

通用Database Audit
移動營運監控
Flowlog日誌中心
日誌分析 For AWS CloudTrail
SREWorks
通用主機審計
智能異常分析
應用自訂儀錶盤
儀錶盤示範列表

以下是使用日誌應用所需的許可權配置。

唯讀許可權

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetResource",
                "log:ListResources",
                "log:GetResourceRecord",
                "log:ListResourceRecords"
            ],
            "Resource": [
                "acs:log:*:*:resource/*"
            ]
        }
    ]
}

系統管理權限

{
    "Version": "1",
    "Statement": [
          {
      "Effect": "Allow",
      "Action": [
        "log:*"
      ],
      "Resource": [
        "acs:log:*:*:resource/*"
      ]
    }
    ]
}