本文介绍RAM的基本概念和相关操作,包括身份管理、资源访问控制、授权RAM用户访问日志服务、授权服务角色读日志和授权用户角色操作日志服务。

基本概念

RAM(Resource Access Management)是阿里云提供的用户身份管理与资源访问控制服务。您可以通过RAM创建、管理用户账号(例如员工、系统或应用程序),并控制这些用户账号对您名下资源具有的操作权限。当您的企业存在多用户协同操作资源时,使用RAM可以让您避免与其他用户共享云账号密钥,按需为用户分配最小权限,从而降低您的企业信息安全风险。

为了更精细地管理和操作日志服务资源,您可以通过阿里云RAM产品为您名下的子账号、日志服务的RAM服务角色和用户角色赋予相应的访问权限。

相关操作

  • 身份管理

    您可以通过RAM进行用户身份管理。例如在您的账号下创建并管理用户账号/用户组、创建服务角色以代表日志服务、创建用户角色以进行跨账号的资源操作与授权管理。

    日志服务支持收集API网关、SLB等云产品的日志数据,您需要在配置前通过云资源访问授权页面完成服务角色的创建与授权。

    角色 默认权限 说明
    AliyunLogArchiveRole AliyunLogArchiveRolePolicy 日志服务默认使用此角色访问您的SLB云产品日志,默认授权策略用于导出SLB服务日志。快速授权请单击云资源访问授权
    AliyunLogDefaultRole AliyunLogRolePolicy 用于日志服务默认角色的授权策略,包含OSS的写入权限。快速授权请单击云资源访问授权
    AliyunLogETLRole AliyunLogETLRolePolicy 用于日志服务ETL功能角色的授权策略,日志服务默认使用此角色来访问您在其他云产品中的资源。快速授权请单击云资源访问授权
    AliyunMNSLoggingRole AliyunMNSLoggingRolePolicy 日志服务默认使用此角色访问您的MNS云产品日志,默认授权策略用于导出MNS服务日志,包含OSS的写入权限。快速授权请单击云资源访问授权
  • 资源访问控制

    您可以为名下的用户账号/用户组以及角色授予对应的授权策略。

    您也可以创建自定义授权策略,或者以自定义授权策略和系统授权策略为模板,参见鉴权规则概览编辑更细粒度的授权策略。

    日志服务支持以下系统授权策略:
    授权策略 类型 说明
    AliyunLogFullAccess 系统策略 日志服务的全部管理权限。
    AliyunLogReadOnlyAccess 系统策略 只读访问日志服务的权限。
  • 授权RAM用户访问日志服务

    在实际的应用场景中,主账号可能需要将日志服务的运营维护工作交予其名下的RAM用户,由RAM用户对日志服务进行日常维护工作;或者主账号名下的RAM用户可能有访问日志服务资源的需求。此时,主账号需要对其名下的RAM用户进行授权,授予其访问或者操作日志服务的权限。出于安全性的考虑,日志服务建议您将RAM用户的权限设置为需求范围内的最小权限。

    配置详情请参见创建RAM用户及授权

  • 授权服务角色读日志

    日志服务提供基于用户日志内容的报警功能。为了读取日志数据,需要您授权日志服务账号访问日志数据。

    配置详情请参见授权服务角色

  • 授权用户角色操作日志服务

    RAM用户角色是一种虚拟用户,它没有确定的身份认证密钥,且需要被一个受信的实体用户(比如云账号、RAM-User账号、云服务账号)扮演才能正常使用。扮演成功后实体用户将获得RAM用户角色的临时安全令牌,使用这个临时安全令牌就能以RAM用户角色身份访问被授权的资源。

    • 将日志服务的操作权限授予一个受信实体用户,允许该实体用户下的RAM角色操作日志服务。详情请参见授权服务角色
    • 授权移动应用客户端通过直连方式访问日志服务,将APP的日志直接上传到日志服务中。详情请参见采集-搭建移动端日志直传服务