すべてのプロダクト
Search
ドキュメントセンター

Cloud Firewall:RAMユーザーにCloud Firewallのログを照会および分析する権限を付与する

最終更新日:Dec 13, 2024

既定では、Resource Access Management (RAM) ユーザーには、Cloud Firewallのログを照会または分析する権限がありません。 RAMユーザーにCloud Firewallのログを照会および分析する権限を付与したいが、RAMユーザーにSimple Log Serviceの他の権限を付与したくない場合は、RAMコンソールでカスタムポリシーを作成し、そのポリシーをRAMユーザーにアタッチできます。 これにより、RAMユーザーは最小特権の原則に基づいてログを照会および分析できます。

前提条件

  • Cloud Firewallのログ分析機能が有効になっています。 詳細については、「概要」をご参照ください。

  • Cloud Firewallのログ用に作成されたプロジェクトとLogstoreの名前が取得されます。

    ログ分析機能を有効にすると、Cloud Firewallは専用プロジェクトと専用ログストアを自動的に作成します。 Simple log Serviceコンソールにログインして、Cloud Firewall専用のプロジェクトとLogstoreを表示できます。

  • RAM ユーザーを作成します。 RAMユーザーの作成方法の詳細については、「RAMユーザーの作成」をご参照ください。

  • システムポリシーAliyunYundunCloudFirewallReadOnlyAccessがRAMユーザーにアタッチされています。 このポリシーは、Cloud Firewallの読み取り専用権限を付与します。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

説明

次のセクションでは、RAMユーザーにCloud Firewallのログを照会および分析する権限を付与する方法について説明します。 RAMユーザーにSimple Log Serviceのフル権限または読み取り専用権限を付与する場合は、AliyunLogFullAccessまたはAliyunLogReadOnlyAccessポリシーをRAMユーザーにアタッチできます。

手順

  1. Alibaba Cloudアカウントを使用するか、管理者権限を持つRAMユーザーとしてRAMコンソールにログインします。

  2. [JSON] タブでカスタムポリシーを作成します。

    1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。

    2. [ポリシー] ページで [ポリシーの作成] をクリックします。 次に、[JSON] タブをクリックします。

    3. 次のポリシーコンテンツをコピーしてコードエディターに貼り付け、[OK] をクリックします。

      説明

      次のポリシーコンテンツの ${Project} および ${Logstore} を、Cloud Firewall専用のSimple Log ServiceプロジェクトおよびLogstoreの名前に置き換えます。

      {
        "Version": "1",
        "Statement": [
          {
            "Action": "log:GetProject",
            "Resource": "acs:log:*:*:project/${Project}",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListLogStores",
            "Resource": "acs:log:*:*:project/${Project}/logstore/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetIndex",
            "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:CreateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:CreateSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetLogStore",
            "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetLogStoreLogs",
            "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
            "Effect": "Allow"
          }
        ]
      }
    4. を指定します。Specify the名前説明フィールドを使用します。

    5. カスタムポリシーの内容を確認して最適化します。

      • 基本的な最適化

        システムは自動的にポリシーステートメントを最適化します。 基本的な最適化中に、システムによって次の操作が実行されます。

        • 不要な条件が削除されます。

        • 不要な配列が削除されます。

      • (オプション) 高度な最適化

        ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。 システムは、高度な最適化中に次の操作を実行します。

        • 操作と互換性のないリソースまたは条件が分割されます。

        • リソースが絞り込まれます。

        • ポリシーステートメントの重複排除またはマージが行われます。

    6. クリックOK.

  3. カスタムポリシーをRAMユーザーにアタッチします。 詳細については、「RAM ユーザーへの権限の付与」をご参照ください。

    その後、RAMユーザーはCloud Firewallのログを照会および分析できますが、Simple Log Serviceの他の機能を使用することはできません。

次に何をすべきか

収集したログをリアルタイムで照会および分析して、トラフィックの例外を監視し、アセットを保護できます。 ログのクエリ方法の詳細については、「ログのクエリと分析」をご参照ください。