全部产品
Search
文档中心

操作审计:操作事件投递的系统权限策略

更新时间:Sep 08, 2023

本文为您介绍操作事件投递的系统权限策略(AliyunActionTrailDeliveryPolicy)的应用场景和权限说明。

应用场景

  • 访问日志服务SLS(Log Service)

    当您创建跟踪并设置了SLS Project地址用于接收操作事件时,操作审计需要向您指定的SLS Project创建Logstore并写入操作事件。此时需要访问日志服务SLS的相关权限。

  • 访问对象存储OSS(Object Storage Service)

    当您创建跟踪并设置了OSS存储空间用于接收操作事件时,操作审计需要向您指定的OSS存储空间写入操作事件。此时需要访问对象存储OSS的相关权限。

权限策略说明

权限策略名称:AliyunActionTrailDeliveryPolicy

权限策略内容:

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject",
                "oss:GetBucketLocation"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:GetProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex"
            ],
            "Resource": "acs:log:*:*:project/*/logstore/actiontrail_*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource": "acs:log:*:*:project/*/dashboard/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch"
            ],
            "Resource": "acs:log:*:*:project/*/savedsearch/actiontrail_*",
            "Effect": "Allow"
        }
    ]
}

权限策略说明:操作审计使用此策略访问SLS和OSS中的资源。权限说明如下表所示。

Action

说明

oss:GetBucketLocation

获取OSS所在地域

oss:PutObject

向OSS写入操作事件

log:GetProject

查询Project是否存在

log:PostLogStoreLogs

向SLS写入操作事件

log:GetLogstore

查询Logstore是否存在

log:CreateLogstore

创建Logstore

log:CreateIndex

创建索引

log:UpdateIndex

更新索引

log:GetIndex

获取索引

log:CreateDashboard

创建看板

log:UpdateDashboard

更新看板

log:CreateSavedSearch

创建快速查询

log:UpdateSavedSearch

更新快速查询