如果子账号需要使用云防火墙日志查询分析服务,需要由主账号为其进行授权操作。

背景信息

开通和使用云防火墙日志查询分析服务,具体涉及以下权限 :
操作类型 支持的操作账号类型
开通日志服务(全局一次性操作)。 主账号
授权云防火墙实时写入日志数据到日志服务的专属日志库(全局一次性操作)。
  • 主账号
  • 具备AliyunLogFullAccess权限的子账号
  • 具备指定权限的子账号
使用日志查询分析功能。
  • 主账号
  • 具备AliyunLogFullAccess权限的子账号
  • 具备指定权限的子账号
您也可以根据实际需求为子账号授予相关权限。
授权场景 授予权限 操作步骤
为子账号授予日志服务产品的所有操作权限。 授予日志服务全部管理权限AliyunLogFullAccess 具体操作步骤,参考RAM用户管理
主账号开通云防火墙日志查询分析服务并完成授权操作后,为子账号授予日志查看权限。 授予只读权限AliyunLogReadOnlyAccess 具体操作步骤,参考RAM用户管理
仅为子账号授予开通和使用云防火墙日志查询分析服务的权限,不授予日志服务产品的其他管理权限。 创建自定义授权策略,并为子账号授予该自定义授权策略。 具体操作步骤,参考本文档内容。

操作步骤

  1. 登录 RAM 控制台
  2. 策略管理中打开自定义授权策略页签。
  3. 在页面右上角单击新建授权策略
  4. 单击空白模板,在模板中输入策略名称和以下策略内容
    说明 将以下策略内容中的${Project}${Logstore}分别替换为您的云防火墙日志服务专属Project和Logstore的名称。
    
    {
      "Version": "1",
      "Statement": [
      	{
          "Action": "log:GetProject",
          "Resource": "acs:log:*:*:project/${Project}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateProject",
          "Resource": "acs:log:*:*:project/*",
          "Effect": "Allow"
        },
    	{
          "Action": "log:ListLogStores",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateLogStore",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
    	{
          "Action": "log:GetIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
    	{
          "Action": "log:UpdateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
    	{
          "Action": "log:CreateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        },
    	{
          "Action": "log:UpdateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        }
      ]
    }


  5. 单击新建授权策略
  6. 定位到用户管理页面,找到需要授权的子账号并单击对应的授权
  7. 添加您所创建的自定义授权策略,单击确定
    被授权的子账号即可以开通和使用云防火墙日志查询分析服务,但无法对日志服务产品的其它功能进行操作。