在預設情況下,RAM使用者沒有許可權查詢和分析Cloud Firewall日誌。如果需要授權RAM使用者使用該服務但又不打算授予Log Service其他系統管理權限,您可以在RAM控制台制定一個自訂權限原則,並將其授予RAM使用者。這種做法既滿足RAM使用者對日誌查詢分析服務的需求,又遵循最小必要許可權原則,有效防止過度授權。
前提條件
已開通Cloud Firewall日誌分析服務。具體操作,請參見日誌分析概述。
已擷取Cloud Firewall日誌的Project和Logstore名稱。
開通Cloud Firewall日誌分析功能後,Cloud Firewall將自動建立一個專屬Project和一個專屬Logstore。您可以登入Log Service控制台查看Cloud Firewall專屬的Project和Logstore。
已建立RAM使用者。具體操作,請參見建立RAM使用者。
已為RAM使用者授予系統策略AliyunYundunCloudFirewallReadOnlyAccess(唯讀訪問Cloud Firewall)許可權。具體操作,請參見為RAM使用者授權。
以下內容主要介紹如何授予RAM使用者分析及查詢分析Cloud Firewall日誌的許可權。如果您需要授權RAM使用者Log Service的全部系統管理權限或唯讀許可權,您可以直接授予RAM使用者AliyunLogFullAccess或AliyunLogReadOnlyAccess許可權。
操作步驟
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
通過指令碼編輯模式建立自訂權限原則。
在左側導覽列,選擇
。在權限原則頁面,單擊建立權限原則。然後單擊指令碼編輯頁簽。
輸入以下策略內容,單擊確定。
說明將以下策略內容中的
${Project}
與${Logstore}
分別替換為Cloud FirewallLog Service專屬Project和Logstore的名稱。{ "Version": "1", "Statement": [ { "Action": "log:GetProject", "Resource": "acs:log:*:*:project/${Project}", "Effect": "Allow" }, { "Action": "log:ListLogStores", "Resource": "acs:log:*:*:project/${Project}/logstore/*", "Effect": "Allow" }, { "Action": "log:GetIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/cloudfirewall-logstore", "Effect": "Allow" }, { "Action": "log:ListDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:ListSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:UpdateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:GetLogStore", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:GetLogStoreLogs", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" } ] }
輸入權限原則名稱和備忘。
檢查並最佳化權限原則內容。
基礎權限原則最佳化
系統會對您添加的權限原則語句自動進行基礎最佳化。基礎權限原則最佳化會完成以下任務:
刪除不必要的條件。
刪除不必要的數組。
可選:進階權限原則最佳化
您可以將滑鼠懸浮在可選:進階策略最佳化上,單擊執行,對權限原則內容進行進階最佳化。進階權限原則最佳化功能會完成以下任務:
拆分不相容操作的資源或條件。
收縮資源到更小範圍。
去重或合并語句。
單擊確定。
授予RAM使用者自訂策略的許可權。具有操作,請參見為RAM使用者授權。
完成授權後,被授權的RAM使用者可以使用Cloud Firewall日誌查詢分析服務,但無法動作記錄服務的其他功能。
相關文檔
您可以對採集到的日誌進行即時查詢與分析,以便於及時瞭解流量異常情況,保護資產安全。查詢日誌的具體操作,請參見查詢及分析日誌。