备案控制台
文档
产品文档
输入文档关键字查找
首页 操作审计 安全合规 使用RAM进行访问控制 操作审计普通服务角色

操作审计普通服务角色

更新时间:
一键部署
产品详情
相关技术圈
我的收藏

使用操作审计跨账号投递事件时,需创建普通服务角色ActionTrailDeliveryRole并授权AliyunActionTrailDeliveryPolicy来完成事件的投递,本文介绍如何创建、查看和删除ActionTrailDeliveryRole。

功能概述

普通服务角色(Service Role)是一种可信实体为阿里云服务的RAM角色,旨在解决跨云服务的授权访问问题。更多信息,请参见RAM角色概览

使用操作审计时,系统提供的普通服务角色及其包含的系统权限策略如下:

  • 普通服务角色:ActionTrailDeliveryRole

  • 系统权限策略:AliyunActionTrailDeliveryPolicy

应用场景

当您需要管理和维护多个阿里云账号时,您可以使用操作审计的跟踪功能跨账号投递事件,将多个阿里云账号的事件投递到同一账号的日志服务SLS、对象存储OSS或大数据计算服务MaxCompute中,从而实现统一的审计数据归档和监控,操作审计使用该角色(ActionTrailDeliveryRole)完成操作事件的跨账号投递。

创建普通服务角色

使用操作审计跨账号投递事件时,需创建普通服务角色ActionTrailDeliveryRole并授权AliyunActionTrailDeliveryPolicy。具体操作,请参见授权权限

展开查看AliyunActionTrailDeliveryPolicy权限策略内容

{
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject",
                "oss:GetBucketInfo",
                "oss:GetBucketLifecycle",
                "oss:GetBucketLocation",
                "kms:ListKeys",
                "kms:Listalias",
                "kms:ListAliasesByKeyId",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:GetProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex",
                "log:GetLogStoreLogs"
            ],
            "Resource": [
                "acs:log:*:*:project/*/logstore/actiontrail_*",
                "acs:log:*:*:project/*/logstore/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource": "acs:log:*:*:project/*/dashboard/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch"
            ],
            "Resource": [
                "acs:log:*:*:project/*/savedsearch/actiontrail_*",
                "acs:log:*:*:project/*/savedsearch/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": "odps:updateUsersToAdmin",
            "Resource": "acs:odps:*:*:projects/actiontrail_*"
        }
    ]
}

查看普通服务角色

当普通服务角色创建成功后,您可以在RAM控制台的角色页面,通过搜索ActionTrailDeliveryRole查看角色详情。

  • 基本信息

    在角色详情页面的基本信息区域,查看角色基本信息,包括角色名称、创建时间、角色ARN和备注等。

  • 权限策略

    在角色详情页面的权限管理页签,单击权限策略名称,查看权限策略内容以及该角色可授权访问哪些云资源。

  • 信任策略

    在角色详情页的信任策略页签,查看信任策略内容。信任策略是描述RAM角色可信实体的策略,可信实体是指可以扮演RAM角色的实体用户身份。普通服务角色的可信实体为云服务,您可以通过信任策略中的Service字段查看。

关于如何查看普通服务角色的详细操作,请参见查看RAM角色

删除普通服务角色

重要

删除普通服务角色后,依赖该角色的对应功能将无法正常使用,请谨慎删除。

您可以在RAM控制台手动删除普通服务角色。具体操作,请参见删除RAM角色

上一篇:操作审计服务关联角色下一篇:监控与日志
文档推荐
  • 本页导读 (1)