本文為您介紹Action Trail服務關聯角色(AliyunServiceRoleForActionTrail)的應用情境、權限原則及相關操作。
應用情境
Action Trail服務關聯角色(AliyunServiceRoleForActionTrail)的應用情境如下:
訪問Log ServiceSLS(Log Service)
當您建立跟蹤並設定了SLS Project地址用於接收操作事件時,Action Trail需要向您指定的SLS Project建立Logstore並寫入操作事件,需要通過服務關聯角色擷取寫入SLS Logstore的許可權。
訪問Object Storage Service(Object Storage Service)
當您建立跟蹤並設定了OSS儲存空間用於接收操作事件時,Action Trail需要向您指定的OSS儲存空間寫入操作事件,需要通過服務關聯角色擷取寫入OSS儲存空間的許可權。
訪問輕量訊息佇列(原 MNS)
當您建立跟蹤並設定了OSS儲存空間用於接收操作事件時,您可以設定當投遞發生時向您的SMQ主題推送訊息。Action Trail需向對應預設的SMQ主題寫入訊息事件,需要通過服務關聯角色擷取通過SMQ推送訊息的許可權。
訪問資來源目錄(Resource Directory)
當您通過建立多帳號跟蹤將整個資來源目錄所有成員的操作事件收集到統一的儲存空間時,Action Trail需要擷取您的資來源目錄結構和成員列表,需要通過服務關聯角色擷取查看資來源目錄和成員的許可權。
關於服務關聯角色的更多資訊,請參見服務關聯角色。
許可權說明
角色名稱:AliyunServiceRoleForActionTrail
權限原則:AliyunServiceRolePolicyForActionTrail
許可權說明:Action Trail預設使用此角色來訪問您的OSS、SLS、MNS、RD等其他雲產品資源。
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:ListObjects",
"oss:PutObject",
"oss:GetBucketInfo",
"oss:GetBucketLifecycle",
"oss:GetBucketLocation",
"kms:ListKeys",
"kms:Listalias",
"kms:ListAliasesByKeyId",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:GetProject",
"log:ListJobs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:PostLogStoreLogs",
"log:CreateLogstore",
"log:GetLogstore",
"log:CreateIndex",
"log:UpdateIndex",
"log:GetIndex",
"log:GetLogStoreLogs"
],
"Resource": [
"acs:log:*:*:project/*/logstore/actiontrail_*",
"acs:log:*:*:project/*/logstore/innertrail_*",
"acs:log:*:*:project/*/logstore/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"log:CreateDashboard",
"log:UpdateDashboard"
],
"Resource": "acs:log:*:*:project/*/dashboard/*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateSavedSearch",
"log:UpdateSavedSearch"
],
"Resource": [
"acs:log:*:*:project/*/savedsearch/actiontrail_*",
"acs:log:*:*:project/*/savedsearch/innertrail_*",
"acs:log:*:*:project/*/savedsearch/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"mns:PublishMessage"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"resourcemanager:GetResourceDirectory",
"resourcemanager:ListAccounts",
"resourcemanager:GetResourceDirectoryAccount"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cms:DescribeMetricList",
"cms:QueryMetricList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "actiontrail.aliyuncs.com"
}
}
},
{
"Effect": "Allow",
"Action": "odps:updateUsersToAdmin",
"Resource": "acs:odps:*:*:projects/actiontrail_*"
}
]
}建立服務關聯角色
系統會在以下情境中自動建立服務關聯角色(AliyunServiceRoleForActionTrail):
當您調用CreateTrail介面首次建立跟蹤時,會自動建立服務關聯角色。
當您在Action Trail控制台首次建立跟蹤時,會自動建立服務關聯角色。
刪除服務關聯角色
刪除服務關聯角色前,您需要在Action Trail控制台刪除所有的跟蹤。具體操作,請參見刪除單帳號跟蹤和刪除多帳號跟蹤。
您可以在RAM控制台刪除服務關聯角色。具體操作,請參見刪除RAM角色。