本文为您介绍操作审计服务关联角色(AliyunServiceRoleForActionTrail)的应用场景、权限策略及相关操作。

应用场景

操作审计服务关联角色(AliyunServiceRoleForActionTrail)的应用场景如下:

  • 访问日志服务SLS(Log Service)

    当您创建跟踪并设置了SLS Project地址用于接收操作事件时,操作审计需要向您指定的SLS Project创建Logstore并写入操作事件,需要通过服务关联角色获取写入SLS Logstore的权限。

  • 访问对象存储OSS(Object Storage Service)

    当您创建跟踪并设置了OSS存储空间用于接收操作事件时,操作审计需要向您指定的OSS存储空间写入操作事件,需要通过服务关联角色获取写入OSS存储空间的权限。

  • 访问消息服务MNS(Message Notification Service)

    当您创建跟踪并设置了OSS存储空间用于接收操作事件时,您可以设置当投递发生时向您的MNS主题推送消息。操作审计需向对应默认的MNS主题写入消息事件,需要通过服务关联角色获取通过MNS推送消息的权限。

  • 访问资源目录(Resource Directory)

    当您通过创建多账号跟踪将整个资源目录所有成员账号的操作事件收集到统一的存储空间时,操作审计需要获取您的资源目录结构和成员账号列表,需要通过服务关联角色获取查看资源目录和成员账号的权限。

关于服务关联角色的更多信息,请参见服务关联角色

权限说明

角色名称:AliyunServiceRoleForActionTrail

权限策略:AliyunServiceRolePolicyForActionTrail

权限说明:操作审计默认使用此角色来访问您的OSS、SLS、MNS、RD等其他云产品资源。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:ListObjects",
                "oss:PutObject",
                "oss:GetBucketLocation"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:GetProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex"
            ],
            "Resource": [
                "acs:log:*:*:project/*/logstore/actiontrail_*",
                "acs:log:*:*:project/*/logstore/innertrail_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource": "acs:log:*:*:project/*/dashboard/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch"
            ],
            "Resource": [
                "acs:log:*:*:project/*/savedsearch/actiontrail_*",
                "acs:log:*:*:project/*/savedsearch/innertrail_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "mns:PublishMessage"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "resourcemanager:GetResourceDirectory",
                "resourcemanager:ListAccounts",
                "resourcemanager:GetResourceDirectoryAccount"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:DeleteServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": "actiontrail.aliyuncs.com"
                }
            }
        }
    ]
}

创建服务关联角色

系统会在以下场景中自动创建服务关联角色(AliyunServiceRoleForActionTrail):

  • 当您调用CreateTrail接口首次创建跟踪时,会自动创建服务关联角色。
  • 当您在操作审计控制台首次创建跟踪时,会自动创建服务关联角色。

删除服务关联角色

删除服务关联角色前,您需要在操作审计控制台删除所有的跟踪。具体操作,请参见删除单账号跟踪删除多账号跟踪

您可以在RAM控制台删除服务关联角色。具体操作,请参见删除RAM角色