授權RAM使用者使用日誌查詢分析功能 - Cloud Firewall

在預設情況下，RAM使用者沒有許可權查詢和分析Cloud Firewall日誌。如果需要授權RAM使用者使用該服務但又不打算授予Log Service其他系統管理權限，您可以在RAM控制台制定一個自訂權限原則，並將其授予RAM使用者。這種做法既滿足RAM使用者對日誌查詢分析服務的需求，又遵循最小必要許可權原則，有效防止過度授權。

前提條件

已開通Cloud Firewall日誌分析服務。具體操作，請參見日誌分析概述。
已擷取Cloud Firewall日誌的Project和Logstore名稱。
開通Cloud Firewall日誌分析功能後，Cloud Firewall將自動建立一個專屬Project和一個專屬Logstore。您可以登入Log Service控制台查看Cloud Firewall專屬的Project和Logstore。
已建立RAM使用者。具體操作，請參見建立RAM使用者。
已為RAM使用者授予系統策略AliyunYundunCloudFirewallReadOnlyAccess（唯讀訪問Cloud Firewall）許可權。具體操作，請參見為RAM使用者授權。

說明

以下內容主要介紹如何授予RAM使用者分析及查詢分析Cloud Firewall日誌的許可權。如果您需要授權RAM使用者Log Service的全部系統管理權限或唯讀許可權，您可以直接授予RAM使用者AliyunLogFullAccess或AliyunLogReadOnlyAccess許可權。

操作步驟

使用阿里雲帳號（主帳號）或Resource Access Management員登入RAM控制台。

通過指令碼編輯模式建立自訂權限原則。

在左側導覽列，選擇許可權管理 > 權限原則。
在權限原則頁面，單擊建立權限原則。然後單擊指令碼編輯頁簽。

輸入以下策略內容，單擊繼續編輯基本資料。

說明

將以下策略內容中的${Project}與${Logstore}分別替換為Cloud FirewallLog Service專屬Project和Logstore的名稱。

{
  "Version": "1",
  "Statement": [
    {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetLogStoreLogs",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    }
  ]
}

輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
- 基礎權限原則最佳化
  系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務：
  - 刪除不必要的條件。
  - 刪除不必要的數組。
- 可選：進階權限原則最佳化
  您可以將滑鼠懸浮在可選：進階策略最佳化上，單擊執行，對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務：
  - 拆分不相容操作的資源或條件。
  - 收縮資源到更小範圍。
  - 去重或合并語句。
單擊確定。

授予RAM使用者自訂策略的許可權。具有操作，請參見為RAM使用者授權。
完成授權後，被授權的RAM使用者可以使用Cloud Firewall日誌查詢分析服務，但無法動作記錄服務的其他功能。

Cloud Firewall：授權RAM使用者查詢分析日誌

前提條件

操作步驟

相關文檔