授权RAM用户查询分析日志

在默认情况下,RAM用户没有权限查询和分析云防火墙日志。如果需要授权RAM用户使用该服务但又不打算授予日志服务其他管理权限,您可以在RAM控制台制定一个自定义权限策略,并将其授予RAM用户。这种做法既满足RAM用户对日志查询分析服务的需求,又遵循最小必要权限原则,有效防止过度授权。

前提条件

  • 已开通云防火墙日志分析服务。具体操作,请参见日志分析概述

  • 已获取云防火墙日志的Project和Logstore名称。

    开通云防火墙日志分析功能后,云防火墙将自动创建一个专属Project和一个专属Logstore。您可以登录日志服务控制台查看云防火墙专属的Project和Logstore。

  • 已创建RAM用户。具体操作,请参见创建RAM用户

  • 已为RAM用户授予系统策略AliyunYundunCloudFirewallReadOnlyAccess(只读访问云防火墙)权限。具体操作,请参见为RAM用户授权

说明

以下内容主要介绍如何授予RAM用户分析及查询分析云防火墙日志的权限。如果您需要授权RAM用户日志服务的全部管理权限或只读权限,您可以直接授予RAM用户AliyunLogFullAccess或AliyunLogReadOnlyAccess权限。

操作步骤

  1. 使用阿里云账号(主账号)或RAM管理员登录RAM控制台

  2. 通过脚本编辑模式创建自定义权限策略。

    1. 在左侧导航栏,选择权限管理 > 权限策略

    2. 权限策略页面,单击创建权限策略。然后单击脚本编辑页签。

    3. 输入以下策略内容,单击确定

      说明

      将以下策略内容中的${Project}${Logstore}分别替换为云防火墙日志服务专属Project和Logstore的名称。

      {
        "Version": "1",
        "Statement": [
          {
            "Action": "log:GetProject",
            "Resource": "acs:log:*:*:project/${Project}",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListLogStores",
            "Resource": "acs:log:*:*:project/${Project}/logstore/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetIndex",
            "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:CreateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:CreateSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetLogStore",
            "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetLogStoreLogs",
            "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
            "Effect": "Allow"
          }
        ]
      }
    4. 输入权限策略名称备注

    5. 检查并优化权限策略内容。

      • 基础权限策略优化

        系统会对您添加的权限策略语句自动进行基础优化。基础权限策略优化会完成以下任务:

        • 删除不必要的条件。

        • 删除不必要的数组。

      • 可选:高级权限策略优化

        您可以将鼠标悬浮在可选:高级策略优化上,单击执行,对权限策略内容进行高级优化。高级权限策略优化功能会完成以下任务:

        • 拆分不兼容操作的资源或条件。

        • 收缩资源到更小范围。

        • 去重或合并语句。

    6. 单击确定

  3. 授予RAM用户自定义策略的权限。具有操作,请参见为RAM用户授权

    完成授权后,被授权的RAM用户可以使用云防火墙日志查询分析服务,但无法操作日志服务的其他功能。

相关文档

您可以对采集到的日志进行实时查询与分析,以便于及时了解流量异常情况,保护资产安全。查询日志的具体操作,请参见查询及分析日志