如果需要为RAM用户授予开通和使用云防火墙日志查询分析服务的权限,不授予日志服务的其他管理权限,您可在RAM控制创建自定义权限策略并进行用户授权。本文介绍授权RAM用户使用日志查询分析功能的详细流程。

背景信息

开通和使用云防火墙日志查询分析服务涉及以下权限。
权限类型 支持权限的账号类型
开通日志服务(全局一次性操作) 阿里云账号
授权云防火墙实时写入日志数据到日志服务的专属日志库(全局一次性操作)
  • 阿里云账号
  • 拥有AliyunLogFullAccess权限的RAM用户
  • 拥有该权限的RAM用户
使用日志查询分析功能
  • 阿里云账号
  • 拥有AliyunLogFullAccess权限的RAM用户
  • 拥有该权限的RAM用户
您也可以根据实际需求为RAM用户授予相关权限。
授权场景 授予权限 相关操作
为RAM用户授予日志服务的所有操作权限。 授予日志服务全部管理权限AliyunLogFullAccess 相关操作,请参见RAM用户管理
阿里云账号开通云防火墙日志查询分析服务并完成授权操作后,为RAM用户授予日志查看权限。 授予只读权限AliyunLogReadOnlyAccess 相关操作,请参见RAM用户管理
仅为RAM用户授予开通和使用云防火墙日志查询分析服务的权限,不授予日志服务的其他管理权限。 创建自定义授权策略,并为RAM用户授予该自定义授权策略。 具体操作步骤,请参见本文操作步骤章节。

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 输入以下策略内容,单击下一步:编辑基本信息
    说明 将以下策略内容中的${Project}${Logstore}分别替换为您的云防火墙日志服务专属Project和Logstore的名称。
    {
      "Version": "1",
      "Statement": [
          {
          "Action": "log:GetProject",
          "Resource": "acs:log:*:*:project/${Project}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateProject",
          "Resource": "acs:log:*:*:project/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:ListLogStores",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateLogStore",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:GetIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        }
      ]
    }
  6. 输入权限策略名称备注
  7. 单击确定
  8. 身份管理 > 用户页面,找到需要授权的RAM用户,并单击操作列的添加权限
  9. 选择您所创建的自定义授权策略,单击确定
    完成授权后,被授权的RAM用户将可以开通和使用云防火墙日志查询分析服务,但无法操作日志服务的其他功能。