在使用日志审计服务时,需先授予日志服务采集相关云产品日志的权限以及授权多个主账号之间的同步汇集。您可以在配置日志采集时使用具备特定权限的子账号的密钥直接完成授权,或者参考本文的操作步骤完成授权。
背景信息
进行跨账号采集云产品日志时,当前主账号和其他主账号需要进行双向授权。
- 当前主账号允许其他账号同步数据到当前主账号的审计Logstore。
- 其他主账号允许同步数据到当前主账号的审计Logstore。
同一账号:手动授权
- 登录RAM 控制台。
建议使用子账号登录,且该子账号需具备RAM读写权限(例如已被授予AliyunRAMFullAccess策略)。
- 创建AliyunLogAuditServiceDispatchPolicy策略。
- 在左侧导航栏中,选择权限管理 > 权限管理策略,单击创建权限策略。
- 在新建自定义权限策略页面,配置如下参数,并单击确定。
参数 说明 策略名称 配置为AliyunLogAuditServiceDispatchPolicy。 配置模式 选择脚本配置。 策略内容 将配置框中的原有脚本替换为如下内容。 { "Version": "1", "Statement": [ { "Action": [ "log:*" ], "Resource": [ "acs:log:*:*:project/slsaudit-*" ], "Effect": "Allow" } ] }
- 参见步骤 2,创建AliyunLogAuditServiceMonitorAccess策略。
参数配置如下所示。
参数 说明 策略名称 配置为AliyunLogAuditServiceMonitorAccess。 配置模式 选择脚本配置。 策略内容 将配置框中的原有脚本替换为如下内容。 { "Version": "1", "Statement": [ { "Action": "log:*", "Resource": [ "acs:log:*:*:project/slsaudit-*", "acs:log:*:*:app/audit" ], "Effect": "Allow" }, { "Action": [ "rds:ModifySQLCollectorPolicy", "vpc:*FlowLog*", "drds:*SqlAudit*" ], "Resource": "*", "Effect": "Allow" } ] } - 创建sls-audit-service-dispatch角色并授予AliyunLogAuditServiceDispatchPolicy策略。
- 在左侧导航栏中,选择RAM角色管理,单击创建 RAM 角色。
- 在选择类型页签中,选择阿里云服务,单击下一步。
- 在配置角色页签中,配置如下参数,单击完成。
参数 说明 角色类型 选择普通服务角色。 角色名称 配置为sls-audit-service-dispatch。 选择受信服务 选择日志服务,对应的信任策略如下所示。 { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" } - 单击为角色授权。
- 在添加权限页面,进行授权。
选择自定义策略下的AliyunLogAuditServiceDispatchPolicy策略。
- 创建sls-audit-service-monitor角色并授予AliyunLogAuditServiceMonitorAccess策略。
- 在左侧导航栏中,选择RAM角色管理,单击创建 RAM 角色。
- 在选择类型页签中,选择阿里云服务,单击下一步。
- 在配置角色页签中,配置如下参数,单击完成。
参数 说明 角色类型 选择普通服务角色。 角色名称 配置为sls-audit-service-monitor。 选择受信服务 选择日志服务,对应的信任策略如下所示。 { "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" } - 单击为角色授权。
- 在添加权限页面,进行授权。
选择自定义策略下的AliyunLogAuditServiceMonitorAccess策略和系统策略下的ReadOnlyAccess策略。
多账号配置:手动授权
- 获取主账号ID。
- 登录账号管理控制台。
使用当前主账号和其他主账号分别登录获取主账号ID。
- 在安全设置页面,获取账号ID。
- 登录账号管理控制台。
- 配置当前主账号。
- 登录RAM 控制台。
建议使用子账号登录,且该子账号需具备RAM读写权限(例如已被授予AliyunRAMFullAccess策略)。
- 单击角色管理。
- 找到并单击sls-audit-service-dispatch角色,进入详情页面。
- 在信任策略管理页签,将配置框中的原有脚本替换为如下内容。
其中,其他主账号ID请根据步骤 1中获取的其他主账号ID进行替换。如果有多个其他账号,请添加多行。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "其他主账号ID@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }
- 登录RAM 控制台。
- 配置其他主账号。
- 登录RAM 控制台。
建议使用子账号登录,且该子账号需具备RAM读写权限(例如已被授予AliyunRAMFullAccess策略)。
- 在左侧导航栏中,选择权限管理 > 权限管理策略,单击创建权限策略。
- 在新建自定义权限策略页面,配置如下参数,并单击确定。
参数 说明 策略名称 配置为AliyunLogAuditServiceMonitorAccess。 配置模式 选择脚本配置。 策略内容 将配置框中的原有脚本替换为如下内容。 { "Version": "1", "Statement": [ { "Action": "log:*", "Resource": [ "acs:log:*:*:project/slsaudit-*", "acs:log:*:*:app/audit" ], "Effect": "Allow" }, { "Action": [ "rds:ModifySQLCollectorPolicy", "vpc:*FlowLog*", "drds:*SqlAudit*" ], "Resource": "*", "Effect": "Allow" } ] } - 创建sls-audit-service-monitor角色并授予AliyunLogAuditServiceMonitorAccess策略。
- 在左侧导航栏中,选择RAM角色管理,单击创建 RAM 角色。
- 在选择类型页签中,选择阿里云服务,单击下一步。
- 在配置角色页签中,配置如下参数,单击完成。
参数 说明 角色类型 选择普通服务角色。 角色名称 配置为sls-audit-service-monitor。 选择受信服务 选择日志服务。 - 单击为角色授权。
- 在添加权限页面,进行授权。
选择自定义策略下的AliyunLogAuditServiceMonitorAccess策略和系统策略下的ReadOnlyAccess策略。
- 返回RAM角色管理页面,单击sls-audit-service-monitor角色。
- 在信任策略管理页签,将配置框中的原有脚本替换为如下内容。
其中,中心主账号ID请根据步骤 1中获取的当前主账号ID进行替换。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "中心主账号ID@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }
- 登录RAM 控制台。
在文档使用中是否遇到以下问题
更多建议
匿名提交