操作事件投递的系统权限策略
本文为您介绍操作事件投递的系统权限策略(AliyunActionTrailDeliveryPolicy)的应用场景和权限说明。
应用场景
访问日志服务SLS(Log Service)
当您创建跟踪并设置了SLS Project地址用于接收操作事件时,操作审计需要向您指定的SLS Project创建Logstore并写入操作事件。此时需要访问日志服务SLS的相关权限。
访问对象存储OSS(Object Storage Service)
当您创建跟踪并设置了OSS存储空间用于接收操作事件时,操作审计需要向您指定的OSS存储空间写入操作事件。此时需要访问对象存储OSS的相关权限。
权限策略说明
权限策略名称:AliyunActionTrailDeliveryPolicy
权限策略内容:
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:PutObject",
"oss:GetBucketLocation"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:GetProject"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:PostLogStoreLogs",
"log:CreateLogstore",
"log:GetLogstore",
"log:CreateIndex",
"log:UpdateIndex",
"log:GetIndex"
],
"Resource": "acs:log:*:*:project/*/logstore/actiontrail_*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateDashboard",
"log:UpdateDashboard"
],
"Resource": "acs:log:*:*:project/*/dashboard/*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateSavedSearch",
"log:UpdateSavedSearch"
],
"Resource": "acs:log:*:*:project/*/savedsearch/actiontrail_*",
"Effect": "Allow"
}
]
}权限策略说明:操作审计使用此策略访问SLS和OSS中的资源。权限说明如下表所示。
Action | 说明 |
oss:GetBucketLocation | 获取OSS所在地域 |
oss:PutObject | 向OSS写入操作事件 |
log:GetProject | 查询Project是否存在 |
log:PostLogStoreLogs | 向SLS写入操作事件 |
log:GetLogstore | 查询Logstore是否存在 |
log:CreateLogstore | 创建Logstore |
log:CreateIndex | 创建索引 |
log:UpdateIndex | 更新索引 |
log:GetIndex | 获取索引 |
log:CreateDashboard | 创建看板 |
log:UpdateDashboard | 更新看板 |
log:CreateSavedSearch | 创建快速查询 |
log:UpdateSavedSearch | 更新快速查询 |
