RAM ユーザーへのログ照会と分析の権限付与 - Web Application Firewall

RAMユーザーは、Alibaba Cloudアカウントを使用して必要な権限を付与された後にのみ、Web Application Firewall (WAF) のログを照会および分析できます。

背景情報

次の表に、操作の種類と操作の実行に必要なアカウントを示します。

操作	必須アカウント
Log Service を有効化します。この操作は1回だけ実行する必要があります。	Alibaba Cloud アカウント
ログデータをlog Serviceの専用Logstoreにリアルタイムで書き込むことをWAFに許可します。この操作は1回だけ実行する必要があります。	Alibaba Cloud アカウント `AliyunLogFullAccess`権限を持つRAMユーザー特定の権限を持つRAMユーザー
ログの照会と分析。	Alibaba Cloud アカウント `AliyunLogFullAccess`権限を持つRAMユーザー特定の権限を持つRAMユーザー

ビジネス要件に基づいて、RAM ユーザーに異なる権限を付与します。

シナリオ	権限	手順
Log Serviceのすべての操作権限をRAMユーザーに付与します。	`AliyunLogFullAccess`	詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
Alibaba Cloudアカウントを使用してLog Service for WAFを有効にし、必要なクラウドリソースへのアクセスをWAFに許可した後、RAMユーザーにログを表示する権限を付与します。	`AliyunLogReadOnlyAccess`	詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
Log Service for WAFを有効にして使用する権限のみをRAMユーザーに付与します。 RAMユーザーには、Log Serviceに対する他の管理権限が付与されていません。	カスタムポリシーで定義されている権限	カスタムポリシーの作成方法の詳細については、次の手順を参照してください。

手順

にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
左側のナビゲーションウィンドウで、権限 > ポリシー.
On theポリシーページをクリックします。ポリシーの作成.
On theポリシーの作成ページをクリックし、JSONタブをクリックします。

次のポリシーコンテンツを入力し、[次へ: 基本情報の編集] をクリックします。

重要次のポリシーコンテンツの ${Project} および ${Logstore} を、WAF専用のLog ServiceプロジェクトおよびLogstoreの名前に置き換えます。

{
  "Version": "1",
  "Statement": [
      {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateProject",
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    }
  ]
}

を指定します。Specify the名前と説明フィールドを使用します。
クリックOK.
左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。表示されるページで、権限付与するRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の追加] パネルで、作成したカスタムポリシーを選択し、[OK] をクリックします。
RAMユーザーが承認されると、RAMユーザーはLog Service for WAFを有効にして使用できます。ただし、RAMユーザーはLog Serviceの他の機能を使用できません。