文档

场景四:使用访问密钥完成对云账号内日志数据的流转

更新时间:

使用RAM用户创建数据加工任务时,您可以通过访问密钥完成对云账号内日志数据的流转。

前提条件

背景信息

同账号场景下,使用RAM用户创建数据加工任务,RAM用户S需要具有源Logstore的读数据权限,RAM用户T需要具有目标Logstore的写权限。该场景下的授权原理如下图所示。场景4

步骤一:获取RAM用户S和RAM用户T的AccessKey

  1. 使用阿里云账号登录RAM控制台

  2. 获取RAM用户S和用户T的AccessKey。

    具体操作,请参见创建AccessKey

    说明
    • RAM用户的AccessKey Secret只在创建时显示,不支持查询,请妥善保管。

    • 若AccessKey泄露或丢失,则需要创建新的AccessKey,最多可以创建2个AccessKey。

步骤二:使用阿里云账号为RAM用户S授予源Logstore读数据权限

  1. 使用阿里云账号登录RAM控制台

  2. 通过脚本编辑模式,创建自定义权限策略。该权限策略用于读取源Logstore中的数据。例如新建权限策略为ori_read

    具体操作,请参见创建自定义权限策略。其中关键参数配置如下:

    关键参数

    说明

    名称

    输入自定义权限策略名称。例如ori_read

    策略内容

    将配置框中的原有脚本替换为如下内容。

    例如:源Project名称为log-project-prod,源Logstore名称为access_log。在实际场景中,请根据实际情况替换。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:ListShards",
            "log:GetCursorOrData",
            "log:GetConsumerGroupCheckPoint",
            "log:UpdateConsumerGroup",
            "log:ConsumerGroupHeartBeat",
            "log:ConsumerGroupUpdateCheckPoint",
            "log:ListConsumerGroup",
            "log:CreateConsumerGroup"
          ],
          "Resource": [
            "acs:log:*:*:project/log-project-prod/logstore/access_log",
            "acs:log:*:*:project/log-project-prod/logstore/access_log/*"
          ],
          "Effect": "Allow"
        }
      ]
    }
  3. 为RAM用户S授予源Logstore读权限。

    具体操作,请参见为RAM用户授权。其中关键参数配置如下:

    关键参数

    说明

    授权范围

    选择整个云账号。权限在当前阿里云账号内生效。

    授权主体

    选择用户S

    自定义策略

    选择ori_read

步骤三:使用阿里云账号为RAM用户T授予目标Logstore写数据权限

  1. 使用阿里云账号登录RAM控制台

  2. 通过脚本编辑模式,创建自定义权限策略。该权限策略用于将数据加工结果写入到目标Logstore。例如新建权限策略为write

    具体操作,请参见创建自定义权限策略。其中关键参数配置如下:

    关键参数

    说明

    名称

    输入自定义权限策略名称。例如write

    策略内容

    将配置框中的原有脚本替换为如下内容。

    例如:目标Project名称为log-project-prod,目标Logstore名称为access_log_output。在实际场景中,请根据实际情况替换。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:Post*",
            "log:BatchPost*"
          ],
           "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
          "Effect": "Allow"
        }
      ]
    }
  3. 为RAM用户T授予目标Logstore写权限。

    具体操作,请参见为RAM用户授权。其中关键参数配置如下:

    关键参数

    说明

    授权范围

    选择整个云账号。权限在当前阿里云账号内生效。

    授权主体

    选择用户T

    自定义策略

    选择write

步骤四:使用RAM用户创建数据加工任务

  1. 使用RAM用户登录日志服务控制台

  2. 进入数据加工页面。
    1. 在Project列表区域,单击目标Project。

    2. 日志存储 > 日志库页签中,单击目标Logstore。

    3. 在查询和分析页面,单击数据加工
  3. 在页面右上角,选择数据的时间范围。
    请确保在原始日志页签中有日志数据。
  4. 在编辑框中,输入数据加工语句。
    加工语句的语法请参见数据加工语法
  5. 预览数据。
    1. 单击快速
      日志服务支持快速预览和高级预览。更多信息,请参见预览调试概述
    2. 单击预览数据

      查看预览结果。

      • 如果加工语句错误或者权限配置错误,导致数据加工失败,请根据页面提示处理。
      • 如果确认数据加工结果无误,请执行步骤下一步。
  6. 创建数据加工任务。

    1. 单击保存数据加工

    2. 创建数据加工任务面板中,配置相关参数,然后单击确定

      其中,其他参数配置请参考数据加工快速入门。该场景中关键参数配置如下:访问密钥-同账号

      关键参数

      说明

      授权方式

      选择密钥

      AccessKey ID

      RAM用户S的AccessKey ID。

      AccessKey Secret

      RAM用户S的AccessKey Secret。

      存储目标授权方式

      选择密钥

      AccessKey ID

      RAM用户T的AccessKey ID。

      AccessKey Secret

      RAM用户T的AccessKey Secret。

    数据加工任务创建成功并运行后,使用RAM用户创建的账号内数据流转任务完成。具体操作,请参见管理数据加工任务