本文为您介绍操作审计服务关联角色(AliyunServiceRoleForActionTrail)的应用场景、权限策略、创建及删除操作。

应用场景

操作审计服务关联角色(AliyunServiceRoleForActionTrail)的应用场景如下:

  • 访问日志服务SLS(Log Service)

    当您创建跟踪并设置了SLS Project地址用于接收操作日志时,操作审计需要向您指定的SLS Project创建Logstore并写入操作日志,需要通过服务关联角色获取写入SLS Logstore的权限。

  • 访问对象存储OSS(Object Storage Service)

    当您创建跟踪并设置了OSS Bucket地址用于接收操作日志时,操作审计需要向您指定的OSS Bucket写入日志文件,需要通过服务关联角色获取写入OSS Bucket的权限。

  • 访问消息服务MNS(Message Notification Service)

    当您创建跟踪并设置了OSS Bucket地址用于接收操作日志时,您可以设置当投递发生时向您的MNS主题推送消息。操作审计需向对应默认的MNS主题写入消息事件,需要通过服务关联角色获取通过MNS推送消息的权限。

  • 访问资源管理(Resource Management)

    当您通过创建多账号跟踪将整个资源目录所有成员账号的操作日志收集到统一的存储空间时,操作审计需要获取您的资源目录结构和账号列表,需要通过服务关联角色获取查看资源目录和账号的权限。

关于服务关联角色的更多信息,请参见服务关联角色

权限说明

角色名称:AliyunServiceRoleForActionTrail。

权限策略:AliyunServiceRolePolicyForActionTrail。

权限说明:授予操作审计读取当前账号下云资源配置信息的权限。

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:ListObjects",
                "oss:PutObject",
                "oss:GetBucketLocation"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "mns:PublishMessage"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "resourcemanager:GetResourceDirectory",
                "resourcemanager:ListAccounts",
                "resourcemanager:GetResourceDirectoryAccount"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

创建服务关联角色

系统会在以下场景中自动创建服务关联角色(AliyunServiceRoleForActionTrail):

  • 当您调用CreateTrail接口创建跟踪时,如果之前没有创建过服务关联角色,会自动进行创建。
  • 当您在操作审计控制台创建跟踪时,如果之前没有创建过服务关联角色,会弹出提示框,提示自动创建服务关联角色。

删除服务关联角色

删除服务关联角色前,您需要在操作审计控制台删除所有的跟踪,详情请参见删除单账号跟踪删除多账号跟踪

您可以在RAM控制台删除服务关联角色,详情请参见删除RAM角色