如何投递用户操作日志的权限说明_无影云电脑-阿里云帮助中心

无影云电脑支持将终端用户的操作日志投递到日志服务SLS的日志库，以便通过日志服务SLS实现对终端用户操作日志的审计及监控管理，并针对可疑操作日志及时发出告警，避免信息泄露，以保证业务数据安全。本文为您介绍投递用户操作日志的权限说明及相关操作步骤。

前提条件

投递用户操作日志的功能依赖于日志服务SLS，故在投递之前您需要开通并授权日志服务SLS。具体操作，请参见快速入门。
投递用户操作日志的过程中，无影云电脑需要访问日志服务SLS的日志库时，需要通过服务关联角色（AliyunServiceRoleForGwsLogDelivery）获取访问权限。更多信息，请参见权限说明。

背景信息

使用投递用户操作日志功能前，您需要了解以下背景信息：

日志服务SLS是云原生观测与分析平台，为Log、Metric、Trace等数据提供大规模、低成本、实时的平台化服务。日志服务一站式提供数据采集、加工、查询与分析、可视化、告警、消费与投递等功能，全面提升您在研发、运维、运营、安全等场景的数字化能力。更多信息，请参见什么是日志服务。
日志库（Logstore）是日志服务中日志数据的采集、存储和查询单元。更多信息，请参见日志库（Logstore）。
服务关联角色是与特定的云服务关联的角色。多数情况下，在您使用特定功能时，关联的云服务会自动创建或删除服务关联角色。通过服务关联角色可以更好地配置云服务正常操作所必须的权限，避免误操作带来的风险。更多关于服务关联角色的信息，请参见服务关联角色。

权限说明

当您首次使用无影云电脑的投递用户操作日志功能时，系统将自动创建一个服务关联角色，并为其授予权限策略。具体信息如下：

角色名称：AliyunServiceRoleForGwsLogDelivery

权限策略：AliyunServiceRolePolicyForGwsLogDelivery

权限说明：无影云电脑使用服务关联角色（AliyunServiceRoleForGwsLogDelivery）来访问日志服务SLS的日志库信息，以完成日志投递任务。

该权限策略包含的云服务访问权限如下：

{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "log:CreateProject",
"Resource": "acs:log:*:*:project/elastic-desktop-*"
},
{
"Action": [
"log:GetProject",
"log:ListProject"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateLogstore",
"log:ListLogStores",
"log:PostLogStoreLogs",
"log:GetLogstore",
"log:CreateIndex",
"log:UpdateIndex",
"log:GetIndex"
],
"Resource": "acs:log:*:*:project/elastic-desktop-*/logstore/elastic_desktop_*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "log-delivery.gws.aliyuncs.com"
}
}
}
]
}

如果您无需使用无影云电脑服务关联角色（AliyunServiceRoleForGwsLogDelivery），您可以将其删除，请先通过控制台或者OpenAPI删除依赖该服务关联角色的无影云电脑资源，即取消投递。取消投递后，您可以删除服务关联角色（AliyunServiceRoleForGwsLogDelivery）。具体操作，请参见删除RAM角色。

注意事项

使用投递用户操作日志功能时，您必须了解以下注意事项：

通过无影云电脑投递用户操作日志的过程不收取费用。但投递用户操作日志功能依赖于日志服务SLS，用户操作日志投递到日志服务SLS后，日志服务SLS会收取存储日志的费用，费用详情请参见计费概述。
投递用户操作日志时，您可创建一个新的日志库，也可以选择一个已有日志库。确认投递操作后，本账号下所有地域的当前及以后的用户操作日志会自动投递到日志服务SLS的日志库。
如果您在日志服务SLS中删除投递用户操作日志的日志库，那么后续通过无影云电脑控制台投递用户操作日志时将报错，无法成功投递。

操作步骤

以下为您介绍如何通过无影云电脑控制台将用户操作日志投递到日志服务SLS的日志库。

登录无影云电脑控制台。
在顶部菜单栏左上角处，选择地域。
在左侧导航栏，选择审计 > 操作日志。
单击用户操作日志页签。
在用户操作日志页面，单击右上角的投递到SLS日志库。
可选：在弹出的无影云电脑服务关联角色提示框，单击确定。
仅在初次使用投递用户操作日志功能时，您需要授权无影云电脑使用服务关联角色（AliyunServiceRoleForGwsLogDelivery）来访问日志服务SLS的日志库信息，以完成日志投递任务。
选择以下一种方式投递用户操作日志。
您可以选择新增日志库或已有日志库两种方式完成投递操作。
- 新增日志库
  1. 在投递方式中选择新增日志库。
  2. 选择日志库所属区域。支持的地域请参见开服地域。
  3. 根据要求输入日志库名称。
  4. 设置数据保留时间。
    自定义数据保留时间支持设置的范围为1~3000天。
- 选择已有日志库
  1. 在投递方式中选择选择已有日志库。
  2. 选择日志库所属区域。支持的地域请参见开服地域。
  3. 根据要求输入日志库名称。
单击确定。
您在无影控制台的页面顶部将看到提示信息，提醒您用户操作日志已投递的日志库名称和开启日志投递功能的日期。

常见问题

为什么使用RAM用户操作时，无法自动创建无影云电脑服务关联角色（AliyunServiceRoleForGwsLogDelivery）？

RAM用户（子账号）需要拥有指定的权限（CreateServiceLinkedRole），才能自动创建或删除服务关联角色（AliyunServiceRoleForGwsLogDelivery）。因此，在RAM用户无法自动创建服务关联角色（AliyunServiceRoleForGwsLogDelivery）时，您需要为其添加以下权限策略。

说明

请将主账号ID替换为您实际的阿里云账号（主账号）ID。

{
    "Statement": [
        {
            "Action": [
                "ram:CreateServiceLinkedRole"
            ],
            "Resource": "acs:ram:*:主账号ID:role/*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "log-delivery.gws.aliyuncs.com"
                    ]
                }
            }
        }
    ],
    "Version": "1"
}