首次使用数据库审计服务前,您需要先完成允许数据库审计服务访问云资源的授权。本文介绍了数据库审计服务关联角色AliyunServiceRoleForDbaudit的权限,如何为数据库审计服务进行云资源授权、以及如何删除服务关联角色。

背景信息

数据库审计产品在为用户创建和存储用户日志服务SLS的原始日志时,需要获取其他云服务的访问权限,RAM会自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit。更多关于服务关联角色的信息,请参见服务关联角色

应用场景

数据库审计功能需要访问日志服务SLS专有网络VPC云服务或安全组的资源时,阿里云会自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit,授权数据库审计服务访问其他关联的云服务。

开通访问云资源的授权

操作步骤
  1. 登录数据库审计控制台
  2. 欢迎使用数据库审计对话框中单击授权
  3. 云资源访问授权页面,单击同意授权

    您购买数据库审计实例后,首次登录数据库审计控制台时,阿里云将自动为您创建数据库审计服务关联角色AliyunServiceRoleForDbaudit。您可以在RAM控制台RAM角色管理页面查看阿里云为数据库审计服务自动创建的服务关联角色。只有创建服务关联角色AliyunServiceRoleForDbaudit后,您的数据库审计实例才能访问日志服务SLS、专有网络VPC等云服务的资源。

权限说明

AliyunServiceRoleForDbaudit具备以下访问权限:

  • SLS相关资源,具备操作相关的projectlogstore权限。
    {
        "Version": "1",
        "Statement": [{
                "Action": [
                    "log:ListProject"
                ],
                "Resource": "acs:log:*:*:project/*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "log:CreateProject",
                    "log:GetProject",
                    "log:DeleteProject"
                ],
                "Resource": "acs:log:*:*:project/dbaudit-*",
                "Effect": "Allow"
            },
            {
                "Action": [
                    "log:*LogStore*",
                    "log:*Index",
                    "log:*ConsumerGroup*",
                    "log:*SavedSearch",
                    "log:*Dashboard"
                ],
                "Resource": "acs:log:*:*:project/dbaudit-*/*",
                "Effect": "Allow"
            }
        ]
    }
  • 专有网络VPC的权限。
    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "vpc:DescribeVpcAttribute",
                    "vpc:DescribeVSwitchAttributes"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }
  • 安全组的权限。
    {
        "Version": "1",
        "Statement": [
            {
                "Action": [
                    "ecs:DescribeSecurityGroupAttribute",
                    "ecs:AuthorizeSecurityGroup",
                    "ecs:RevokeSecurityGroup"
                ],
                "Resource": "*",
                "Effect": "Allow"
            }
        ]
    }

删除AliyunServiceRoleForDbaudit

如果您使用了数据库审计功能,并且需要删除数据库审计服务关联角色AliyunServiceRoleForDbaudit,请先释放已有的数据库审计实例,在无数据库审计实例的情况下进行删除。

操作步骤
  1. 登录RAM控制台
  2. RAM访问控制页面左侧导航栏,单击RAM角色管理
  3. RAM角色管理页面的搜索框中,输入AliyunServiceRoleForDbaudit,系统自动搜索到名称为AliyunServiceRoleForDbaudit的RAM角色。
  4. 在右侧操作列,单击删除
  5. 删除RAM角色对话框,单击确定

常见问题

为什么我的RAM用户无法自动创建数据库审计服务关联角色AliyunServiceRoleForDbaudit?

您需要拥有指定的权限,才能自动创建或删除AliyunServiceRoleForDbaudit。因此,在RAM用户无法自动创建AliyunServiceRoleForDbaudit时,您需为其添加以下权限策略。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "dbaudit.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}