本文介紹RAM的基本概念和相關操作,包括身份管理、資源存取控制、授權RAM使用者訪問Log Service、授權服務角色讀取日誌和授權使用者角色動作記錄服務。
基本概念
RAM(Resource Access Management)是阿里雲提供的使用者身份管理與資源存取控制服務。您可以通過RAM建立、系統管理使用者帳號(例如員工、系統或應用程式),並控制這些使用者帳號對您名下資源具有的操作許可權。當您的企業存在多使用者協同操作資源時,使用RAM可以讓您避免與其他使用者共用雲帳號密鑰,按需為使用者指派最小許可權,從而降低您的公司資訊安全風險。
為了更精細地管理和動作記錄服務資源,您可以通過阿里雲RAM產品為您名下的RAM使用者、Log Service的RAM服務角色和使用者角色賦予相應的存取權限。
相關操作
身份管理
您可以通過RAM進行使用者身份管理。例如在您的帳號下建立並系統管理使用者帳號、使用者組、建立服務角色以代表Log Service,建立使用者角色以進行跨帳號的資源操作與授權管理。
Log Service支援收集API Gateway、SLB等雲產品的日誌資料,您需要在配置前通過雲資源訪問授權頁面完成服務角色的建立與授權。
角色
預設許可權
說明
AliyunLogArchiveRole
AliyunLogArchiveRolePolicy
Log Service預設使用此角色訪問您的SLB雲產品日誌,預設授權策略用於匯出SLB服務日誌。快速授權請單擊雲資源訪問授權。
AliyunLogImportOSSRole
AliyunLogImportOSSRolePolicy
用於Log Service匯入OSS功能角色的授權策略。快速授權請單擊雲資源訪問授權。
AliyunLogDefaultRole
AliyunLogRolePolicy
用於Log Service預設角色的授權策略,包含OSS的寫入許可權。快速授權請單擊雲資源訪問授權。
AliyunLogETLRole
AliyunLogETLRolePolicy
用於Log ServiceETL功能角色的授權策略,Log Service預設使用此角色來訪問您在其他雲產品中的資源。快速授權請單擊雲資源訪問授權。
AliyunMNSLoggingRole
AliyunMNSLoggingRolePolicy
Log Service預設使用此角色訪問您的MNS雲產品日誌,預設授權策略用於匯出MNS服務日誌,包含OSS的寫入許可權。快速授權請單擊雲資源訪問授權。
資源存取控制
您可以為名下的使用者帳號、使用者組以及角色授予對應的授權策略。
您也可以建立自訂授權策略,或者以自訂授權策略和系統授權策略為模板,參見鑒權規則編輯更細粒度的授權策略。更多資訊,請參見鑒權規則。
Log Service支援以下系統授權策略:
授權策略
類型
說明
AliyunLogFullAccess
系統策略
Log Service的全部系統管理權限。
AliyunLogReadOnlyAccess
系統策略
唯讀訪問Log Service的許可權。
授權RAM使用者訪問Log Service
在實際的應用情境中,阿里雲帳號可能需要將Log Service的營運維護工作交予其名下的RAM使用者,由RAM使用者對Log Service進行日常維護工作;或者阿里雲帳號名下的RAM使用者可能有訪問Log Service資源的需求。此時,阿里雲帳號需要對其名下的RAM使用者進行授權,授予其訪問或者動作記錄服務的許可權。出於安全性的考慮,Log Service建議您將RAM使用者的使用權限設定為需求範圍內的最小許可權。更多資訊,請參見建立RAM使用者及授權。
授權服務角色讀日誌
Log Service提供基於使用者日誌內容的警示功能。為了讀取日誌資料,需要您授權Log Service帳號訪問日誌資料。更多資訊,請參見建立可信實體為阿里雲服務的RAM角色及授權。
授權使用者角色動作記錄服務
RAM使用者角色是一種虛擬使用者,它沒有確定的身份認證密鑰,且需要被一個受信的實體使用者(比如雲帳號、RAM-User帳號、雲端服務帳號)扮演才能正常使用。扮演成功後實體使用者將獲得RAM使用者角色的臨時安全性權杖,使用這個臨時安全性權杖就能以RAM使用者角色身份訪問被授權的資源。
將Log Service的操作許可權授予一個受信實體使用者,允許該實體使用者下的RAM角色動作記錄服務。更多資訊,請參見建立可信實體為阿里雲帳號的RAM角色及授權。
授權行動裝置 App用戶端通過直連方式訪問Log Service,將App的日誌直接上傳到Log Service中。更多資訊,請參見採集-搭建移動端日誌直傳服務。