在默认情况下,RAM用户没有权限查询和分析云防火墙日志。如果需要授权RAM用户使用该服务但又不打算授予日志服务其他管理权限,您可以在RAM控制台制定一个自定义权限策略,并将其授予RAM用户。这种做法既满足RAM用户对日志查询分析服务的需求,又遵循最小必要权限原则,有效防止过度授权。
前提条件
已开通云防火墙日志分析服务。具体操作,请参见日志分析概述。
已获取云防火墙日志的Project和Logstore名称。
开通云防火墙日志分析功能后,云防火墙将自动创建一个专属Project和一个专属Logstore。您可以登录日志服务控制台查看云防火墙专属的Project和Logstore。
已创建RAM用户。具体操作,请参见创建RAM用户。
已为RAM用户授予系统策略AliyunYundunCloudFirewallReadOnlyAccess(只读访问云防火墙)权限。具体操作,请参见为RAM用户授权。
以下内容主要介绍如何授予RAM用户分析及查询分析云防火墙日志的权限。如果您需要授权RAM用户日志服务的全部管理权限或只读权限,您可以直接授予RAM用户AliyunLogFullAccess或AliyunLogReadOnlyAccess权限。
操作步骤
使用阿里云账号(主账号)或RAM管理员登录RAM控制台。
通过脚本编辑模式创建自定义权限策略。
在左侧导航栏,选择
。在权限策略页面,单击创建权限策略。然后单击脚本编辑页签。
输入以下策略内容,单击继续编辑基本信息。
说明将以下策略内容中的
${Project}
与${Logstore}
分别替换为云防火墙日志服务专属Project和Logstore的名称。{ "Version": "1", "Statement": [ { "Action": "log:GetProject", "Resource": "acs:log:*:*:project/${Project}", "Effect": "Allow" }, { "Action": "log:ListLogStores", "Resource": "acs:log:*:*:project/${Project}/logstore/*", "Effect": "Allow" }, { "Action": "log:GetIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore", "Effect": "Allow" }, { "Action": "log:ListDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:ListSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:UpdateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:GetLogStore", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:GetLogStoreLogs", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" } ] }
输入权限策略名称和备注。
检查并优化权限策略内容。
基础权限策略优化
系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:
删除不必要的条件。
删除不必要的数组。
可选:高级权限策略优化
您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:
拆分不兼容操作的资源或条件。
收缩资源到更小范围。
去重或合并语句。
单击确定。
授予RAM用户自定义策略的权限。具有操作,请参见为RAM用户授权。
完成授权后,被授权的RAM用户可以使用云防火墙日志查询分析服务,但无法操作日志服务的其他功能。
相关文档
您可以对采集到的日志进行实时查询与分析,以便于及时了解流量异常情况,保护资产安全。查询日志的具体操作,请参见查询及分析日志。