Log ServiceAPI發生子帳號訪問主帳號資源的鑒權規則 - Simple Log Service

Log Service支援通過權限原則實現RAM使用者授權、RAM角色授權、標籤鑒權以及跨雲端服務授權。本文介紹了Log Service支援的權限原則的Action、Resource，適用於精細化控制許可權。

權限原則（Policy）

權限原則是用文法結構描述的一組許可權的集合，可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範，請參見權限原則基本元素和權限原則文法和結構。

RAM支援以下兩種權限原則：

阿里雲管理的系統權限原則：統一由阿里雲建立，使用者只能使用，不能修改，策略的版本更新由阿里雲維護。
使用者管理的自訂權限原則：使用者可以自主建立、更新和刪除，策略的版本更新由使用者自己維護。

通過為RAM身份綁定權限原則，可以獲得權限原則中指定的存取權限。具體操作，請參見為RAM使用者授權、為RAM使用者組授權和為RAM角色授權。

權限原則基本元素

權限原則的概念和文法的更多資訊，請參見權限原則基本元素。

元素名稱	描述
效果（Effect）	授權效果包括兩種：允許（Allow）和拒絕（Deny）。
操作（Action）	操作是指對具體資源的操作。
資源（Resource）	資源是指被授權的具體對象。
條件（Condition）	條件是指授權生效的條件。
授權主體（Principal）	授權主體是指允許或拒絕訪問資源的主體，僅適用於基於資源的策略。例如：RAM角色的信任策略。

授權操作流程

建立帳號管理員。
阿里雲帳號（主帳號）對帳號中的資源具有完全系統管理權限，且無法進行條件限制（例如：訪問來源IP地址、訪問時間等），多人共用時也無法在動作記錄中區分出具體使用人，一旦泄露風險極大，強烈建議您不要使用阿里雲帳號（主帳號）進行日常營運管理。
您可以在RAM中建立一個RAM使用者，授予AdministratorAccess許可權，充當帳號管理員，該管理員可以對帳號下所有雲資源進行管控操作。後續您可以通過該管理員建立多個RAM使用者，進行分權管理。
建立自訂權限原則。
RAM提供了兩種權限原則：系統權限原則和自訂權限原則。系統權限原則由阿里雲統一提供，可以查看、不能修改。如果系統權限原則不能滿足您的授權需求，您可以按需建立自訂權限原則，實現精微調權限管理。
建立RAM使用者或RAM角色並進行授權：
- 建立RAM使用者並授權。
  您可以建立RAM使用者並為其授權，實現不同RAM使用者擁有不同資源存取權限的目的。
  當您的企業存在多使用者協同訪問資源的情境時，使用RAM可以按需為使用者指派最小許可權，避免多使用者共用阿里雲帳號（主帳號）密碼或存取金鑰，從而降低企業的安全風險。
- 建立RAM使用者組並授權。
  RAM使用者組是RAM中的一種實體身份類型，RAM使用者組可以對職責相同的RAM使用者進行分類並授權，從而更高效地管理RAM使用者及其許可權。
- 建立RAM角色並授權。
  RAM角色是一種虛擬使用者，可以被授予一組權限原則。與RAM使用者不同，RAM角色沒有永久身份憑證（登入密碼或存取金鑰），需要被一個可信實體扮演。扮演成功後，可信實體將獲得RAM角色的臨時身份憑證，即安全性權杖（STS Token），使用該安全性權杖就能以RAM角色身份訪問被授權的資源。使用RAM角色的操作步驟，請參見扮演RAM角色。

Action

Action的格式統一為log:${API名稱}，其中${API名稱}為Log Service的API名稱。Log Service公開提供的所有雲端API，請參見API概覽。

在建立Log Service授權策略時，多個Action以英文逗號（,）分隔，支援使用星號（*）萬用字元。例如log:Create*中Create*通配以Create開頭的API名稱，例如CreateProduct、CreateThingModel、CreateProductTopic。

重要

GetCursor、GetCursorTime這兩個API對應的Action相同，即log:GetCursorOrData。

Resource

Log Service中的資源具有層級關係。Project是根資源，Logstore、config、machinegroup是Project的子資源且相互之間平級，shipper和consumergroup是Logstore的子資源。

資源類型	授權策略中的資源描述方式
Project	`acs:log:${regionName}:${uid}:project/${projectName}`
	`acs:log:${regionName}:${uid}:project/*`
Project:Logstore	`acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/logstore/*`
Project:Logstore:Shipper	`acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/shipper/${shipperName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/shipper/*`
Project:Config	`acs:log:${regionName}:${uid}:project/${projectName}/logtailconfig/${logtailConfigName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/logtailconfig/*`
Project:MachineGroup	`acs:log:${regionName}:${uid}:project/${projectName}/machinegroup/${machineGroupName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/machinegroup/*`
Project:ConsumerGroup	`acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/${consumerGroupName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/*`
Project:SavedSearch	`acs:log:${regionName}:${uid}:project/${projectName}/savedsearch/${savedSearchName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/savedsearch/*`
Project:Dashboard	`acs:log:${regionName}:${uid}:project/${projectName}/dashboard/${dashboardName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/dashboard/*`
Project:Alarm	`acs:log:${regionName}:${uid}:project/${projectName}/alert/${alarmName}`
	`acs:log:${regionName}:${uid}:project/${projectName}/alert/*`
泛指模式	`acs:log:${regionName}:${uid}:*`
	`acs:log::${uid}:`

參數說明

參數名稱	說明
`${regionName}`	某個region的名稱。
`${uid}`	阿里雲帳號ID。
`${projectName}`	Project的名稱。
`${logstoreName}`	Logstore的名稱。
`${logtailconfig}`	Logtail配置的名稱。
`${machineGroupName}`	機器組的名稱。
`${shipperName}`	日誌投遞規則的名稱。
`${consumerGroupName}`	協同消費組的名稱。
`${savedSearchName}`	快速查詢的名稱。
`${dashboardName}`	儀錶盤的名稱。
`${alarmName}`	警示規則的名稱。