全部产品
Search

搜索本产品

    Web 应用防火墙:为RAM用户授予日志查询分析权限

    文档中心

    Web 应用防火墙:为RAM用户授予日志查询分析权限

    更新时间:Mar 31, 2026

    如果RAM用户需要使用Web应用防火墙(Web Application Firewall,简称WAF)日志查询分析服务,需要由阿里云账号为其进行授权操作。

    背景信息

    开通和使用WAF日志查询分析服务,具体涉及以下权限。

    授予权限

    支持的账号类型

    开通日志服务(全局一次性操作)

    阿里云账号

    授权WAF实时写入日志数据到日志服务的专属日志库(全局一次性操作)

    • 阿里云账号

    • 具备AliyunLogFullAccess权限的RAM用户

    • 具备指定权限的RAM用户

    使用日志查询分析功能

    • 阿里云账号

    • 具备AliyunLogFullAccess权限的RAM用户

    • 具备指定权限的RAM用户

    您也可以根据实际需求为RAM用户授予相关权限。

    授权场景

    授予权限

    操作步骤

    为RAM用户授予日志服务产品的所有操作权限。

    授予日志服务全部管理权限AliyunLogFullAccess

    具体操作步骤,请参见为RAM用户授权

    阿里云账号开通WAF日志查询分析服务并完成授权操作后,为RAM用户授予日志查看权限。

    授予只读权限AliyunLogReadOnlyAccess

    具体操作步骤,请参见为RAM用户授权

    仅为RAM用户授予开通和使用WAF日志查询分析服务的权限,不授予日志服务产品的其他管理权限。

    创建自定义授权策略,并为RAM用户授予该自定义授权策略。

    具体操作步骤,请参见本文操作步骤章节。

    操作步骤

    1. 使用阿里云账号登录RAM控制台

    2. 在左侧导航栏,选择权限管理>权限策略

    3. 权限策略页面,单击创建权限策略

      image

    4. 创建权限策略页面,单击脚本编辑页签。

      image

    5. 输入以下策略内容,单击确定

      重要

      请将以下策略内容中的${Project}${Logstore}分别替换为您的WAF日志服务专属Project和Logstore的名称。

      {
  "Version": "1",
  "Statement": [
      {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateProject",
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    }
  ]
}

    6. 创建权限策略对话框,输入策略名称备注,然后单击确定

    7. 身份管理>用户页面,找到需要授权的RAM用户,并单击操作列的新增授权

    8. 选择您所创建的自定义授权策略,单击确定

      完成授权后,被授权的RAM用户将可以开通和使用WAF日志查询分析服务,但无法操作日志服务产品的其他功能。