全部產品
Search
文件中心

Cloud Firewall:授權RAM使用者查詢分析日誌

更新時間:Dec 11, 2024

在預設情況下,RAM使用者沒有許可權查詢和分析Cloud Firewall日誌。如果需要授權RAM使用者使用該服務但又不打算授予Log Service其他系統管理權限,您可以在RAM控制台制定一個自訂權限原則,並將其授予RAM使用者。這種做法既滿足RAM使用者對日誌查詢分析服務的需求,又遵循最小必要許可權原則,有效防止過度授權。

前提條件

  • 已開通Cloud Firewall日誌分析服務。具體操作,請參見日誌分析概述

  • 已擷取Cloud Firewall日誌的Project和Logstore名稱。

    開通Cloud Firewall日誌分析功能後,Cloud Firewall將自動建立一個專屬Project和一個專屬Logstore。您可以登入Log Service控制台查看Cloud Firewall專屬的Project和Logstore。

  • 已建立RAM使用者。具體操作,請參見建立RAM使用者

  • 已為RAM使用者授予系統策略AliyunYundunCloudFirewallReadOnlyAccess(唯讀訪問Cloud Firewall)許可權。具體操作,請參見為RAM使用者授權

說明

以下內容主要介紹如何授予RAM使用者分析及查詢分析Cloud Firewall日誌的許可權。如果您需要授權RAM使用者Log Service的全部系統管理權限或唯讀許可權,您可以直接授予RAM使用者AliyunLogFullAccess或AliyunLogReadOnlyAccess許可權。

操作步驟

  1. 使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台

  2. 通過指令碼編輯模式建立自訂權限原則。

    1. 在左側導覽列,選擇許可權管理 > 權限原則

    2. 權限原則頁面,單擊建立權限原則。然後單擊指令碼編輯頁簽。

    3. 輸入以下策略內容,單擊確定

      說明

      將以下策略內容中的${Project}${Logstore}分別替換為Cloud FirewallLog Service專屬Project和Logstore的名稱。

      {
        "Version": "1",
        "Statement": [
          {
            "Action": "log:GetProject",
            "Resource": "acs:log:*:*:project/${Project}",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListLogStores",
            "Resource": "acs:log:*:*:project/${Project}/logstore/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetIndex",
            "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:CreateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateDashboard",
            "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:CreateSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:ListSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:UpdateSavedSearch",
            "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetLogStore",
            "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
            "Effect": "Allow"
          },
          {
            "Action": "log:GetLogStoreLogs",
            "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
            "Effect": "Allow"
          }
        ]
      }
    4. 輸入權限原則名稱備忘

    5. 檢查並最佳化權限原則內容。

      • 基礎權限原則最佳化

        系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:

        • 刪除不必要的條件。

        • 刪除不必要的數組。

      • 可選:進階權限原則最佳化

        您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:

        • 拆分不相容操作的資源或條件。

        • 收縮資源到更小範圍。

        • 去重或合并語句。

    6. 單擊確定

  3. 授予RAM使用者自訂策略的許可權。具有操作,請參見為RAM使用者授權

    完成授權後,被授權的RAM使用者可以使用Cloud Firewall日誌查詢分析服務,但無法動作記錄服務的其他功能。

相關文檔

您可以對採集到的日誌進行即時查詢與分析,以便於及時瞭解流量異常情況,保護資產安全。查詢日誌的具體操作,請參見查詢及分析日誌