全部產品
Search
文件中心

Simple Log Service:鑒權規則

更新時間:Oct 25, 2024

Log Service支援通過權限原則實現RAM使用者授權、RAM角色授權、標籤鑒權以及跨雲端服務授權。本文介紹了Log Service支援的權限原則的Action、Resource,適用於精細化控制許可權。

權限原則(Policy)

權限原則是用文法結構描述的一組許可權的集合,可以精確地描述被授權的資源集、操作集以及授權條件。RAM支援的權限原則基本元素和語言規範,請參見權限原則基本元素權限原則文法和結構

RAM支援以下兩種權限原則:

  • 阿里雲管理的系統權限原則:統一由阿里雲建立,使用者只能使用,不能修改,策略的版本更新由阿里雲維護。

  • 使用者管理的自訂權限原則:使用者可以自主建立、更新和刪除,策略的版本更新由使用者自己維護。

通過為RAM身份綁定權限原則,可以獲得權限原則中指定的存取權限。具體操作,請參見為RAM使用者授權為RAM使用者組授權為RAM角色授權

權限原則基本元素

權限原則的概念和文法的更多資訊,請參見權限原則基本元素

元素名稱

描述

效果(Effect)

授權效果包括兩種:允許(Allow)和拒絕(Deny)。

操作(Action)

操作是指對具體資源的操作。

資源(Resource)

資源是指被授權的具體對象。

條件(Condition)

條件是指授權生效的條件。

授權主體(Principal)

授權主體是指允許或拒絕訪問資源的主體,僅適用於基於資源的策略。例如:RAM角色的信任策略。

授權操作流程

  1. 建立帳號管理員

    阿里雲帳號(主帳號)對帳號中的資源具有完全系統管理權限,且無法進行條件限制(例如:訪問來源IP地址、訪問時間等),多人共用時也無法在動作記錄中區分出具體使用人,一旦泄露風險極大,強烈建議您不要使用阿里雲帳號(主帳號)進行日常營運管理。

    您可以在RAM中建立一個RAM使用者,授予AdministratorAccess許可權,充當帳號管理員,該管理員可以對帳號下所有雲資源進行管控操作。後續您可以通過該管理員建立多個RAM使用者,進行分權管理。

  2. 建立自訂權限原則

    RAM提供了兩種權限原則:系統權限原則和自訂權限原則。系統權限原則由阿里雲統一提供,可以查看、不能修改。如果系統權限原則不能滿足您的授權需求,您可以按需建立自訂權限原則,實現精微調權限管理。

  3. 建立RAM使用者或RAM角色並進行授權:

    • 建立RAM使用者並授權

      您可以建立RAM使用者並為其授權,實現不同RAM使用者擁有不同資源存取權限的目的。

      當您的企業存在多使用者協同訪問資源的情境時,使用RAM可以按需為使用者指派最小許可權,避免多使用者共用阿里雲帳號(主帳號)密碼或存取金鑰,從而降低企業的安全風險。

    • 建立RAM使用者組並授權

      RAM使用者組是RAM中的一種實體身份類型,RAM使用者組可以對職責相同的RAM使用者進行分類並授權,從而更高效地管理RAM使用者及其許可權。

    • 建立RAM角色並授權

      RAM角色是一種虛擬使用者,可以被授予一組權限原則。與RAM使用者不同,RAM角色沒有永久身份憑證(登入密碼或存取金鑰),需要被一個可信實體扮演。扮演成功後,可信實體將獲得RAM角色的臨時身份憑證,即安全性權杖(STS Token),使用該安全性權杖就能以RAM角色身份訪問被授權的資源。使用RAM角色的操作步驟,請參見扮演RAM角色

Action

Action的格式統一為log:${API名稱},其中${API名稱}為Log Service的API名稱。Log Service公開提供的所有雲端API,請參見API概覽

在建立Log Service授權策略時,多個Action以英文逗號(,)分隔,支援使用星號(*)萬用字元。例如log:Create*Create*通配以Create開頭的API名稱,例如CreateProductCreateThingModelCreateProductTopic

重要

GetCursorGetCursorTime這兩個API對應的Action相同,即log:GetCursorOrData

Resource

Log Service中的資源具有層級關係。Project是根資源,Logstore、config、machinegroup是Project的子資源且相互之間平級,shipper和consumergroup是Logstore的子資源。

資源類型

授權策略中的資源描述方式

Project

acs:log:${regionName}:${uid}:project/${projectName}

acs:log:${regionName}:${uid}:project/*

Project:Logstore

acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}

acs:log:${regionName}:${uid}:project/${projectName}/logstore/*

Project:Logstore:Shipper

acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/shipper/${shipperName}

acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/shipper/*

Project:Config

acs:log:${regionName}:${uid}:project/${projectName}/logtailconfig/${logtailConfigName}

acs:log:${regionName}:${uid}:project/${projectName}/logtailconfig/*

Project:MachineGroup

acs:log:${regionName}:${uid}:project/${projectName}/machinegroup/${machineGroupName}

acs:log:${regionName}:${uid}:project/${projectName}/machinegroup/*

Project:ConsumerGroup

acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/${consumerGroupName}

acs:log:${regionName}:${uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/*

Project:SavedSearch

acs:log:${regionName}:${uid}:project/${projectName}/savedsearch/${savedSearchName}

acs:log:${regionName}:${uid}:project/${projectName}/savedsearch/*

Project:Dashboard

acs:log:${regionName}:${uid}:project/${projectName}/dashboard/${dashboardName}

acs:log:${regionName}:${uid}:project/${projectName}/dashboard/*

Project:Alarm

acs:log:${regionName}:${uid}:project/${projectName}/alert/${alarmName}

acs:log:${regionName}:${uid}:project/${projectName}/alert/*

泛指模式

acs:log:${regionName}:${uid}:*

acs:log:*:${uid}:*

參數說明

參數名稱

說明

${regionName}

某個region的名稱。

${uid}

阿里雲帳號ID。

${projectName}

Project的名稱。

${logstoreName}

Logstore的名稱。

${logtailconfig}

Logtail配置的名稱。

${machineGroupName}

機器組的名稱。

${shipperName}

日誌投遞規則的名稱。

${consumerGroupName}

協同消費組的名稱。

${savedSearchName}

快速查詢的名稱。

${dashboardName}

儀錶盤的名稱。

${alarmName}

警示規則的名稱。