全部产品
弹性计算 会员服务 网络 安全 移动云 数加·大数据分析及展现 数加·大数据应用 管理与监控 云通信 阿里云办公 培训与认证 更多
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 智能硬件
日志服务

授权-简介

更新时间:2018-03-22 22:16:48

RAM (Resource Access Management) 是阿里云为客户提供的 用户身份管理资源访问控制 服务。使用 RAM,您可以创建、管理用户账号(比如员工、系统或应用程序),并可以控制这些用户账号对您名下资源具有的操作权限。当您的企业存在多用户协同操作资源时,使用 RAM 可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低您的企业信息安全风险。

为了更精细地管理和操作日志服务资源,您可以通过阿里云RAM产品为您名下的子账号、日志服务的RAM服务角色和用户角色赋予相应的访问权限。

身份管理

您可以通过RAM进行用户身份管理。例如在您的账号下创建并管理用户账号/用户组、创建服务角色以代表日志服务、创建用户角色以进行跨账号的资源操作与授权管理。

日志服务支持收集API网关、SLB等云产品的日志数据,您需要在配置前通过快速授权页完成服务角色的创建与授权。

角色 默认权限 说明
AliyunLogArchiveRole AliyunLogArchiveRolePolicy 日志服务默认使用此角色访问您的SLB云产品日志,默认授权策略用于导出SLB服务日志。快速授权请单击快速授权页
AliyunLogDefaultRole AliyunLogRolePolicy 用于日志服务默认角色的授权策略,包含OSS的写入权限。快速授权请单击快速授权页
AliyunLogETLRole AliyunLogETLRolePolicy 用于日志服务ETL功能角色的授权策略,日志服务默认使用此角色来访问您在其他云产品中的资源。快速授权请单击快速授权页
AliyunMNSLoggingRole AliyunMNSLoggingRolePolicy 日志服务默认使用此角色访问您的MNS云产品日志,默认授权策略用于导出MNS服务日志,包含OSS的写入权限。快速授权请单击快速授权页

资源访问控制

您可以为名下的用户账号/用户组以及角色授予对应的授权策略。

您也可以创建自定义授权策略,或者以自定义授权策略和系统授权策略为模板,参考开发指南编辑更细粒度的授权策略。

日志服务支持以下系统授权策略。

授权策略类型说明
AliyunLogFullAccess系统策略 日志服务的全部管理权限。
AliyunLogReadOnlyAccess系统策略只读访问日志服务的权限。

应用场景

授权RAM子用户访问日志服务

在实际的应用场景中,主账号可能需要将日志服务的运营维护工作交予其名下的RAM子用户,由RAM子用户对日志服务进行日常维护工作;或者主账号名下的RAM子用户可能有访问日志服务资源的需求。此时,主账号需要对其名下的RAM子用户进行授权,授予其访问或者操作日志服务的权限。出于安全性的考虑,日志服务建议您将RAM子用户的权限设置为需求范围内的最小权限。

配置详情请参考授权RAM子用户访问日志服务

授权服务角色读日志

日志服务目前提供基于用户日志内容报警功能,为了读取日志数据,需要用户显式授权日志服务服务账号访问用户数据。

配置详情请参考授权服务角色读日志

授权用户角色操作日志服务

RAM 用户角色是一种虚拟用户,它没有确定的身份认证密钥,且需要被一个受信的实体用户(比如云账号、RAM-User 账号、云服务账号)扮演才能正常使用。扮演成功后实体用户将获得 RAM 用户角色的临时安全令牌,使用这个临时安全令牌就能以RAM用户角色身份访问被授权的资源。

本文导读目录