全部產品
Search
文件中心

Simple Log Service:通過預設角色訪問資料

更新時間:Jun 30, 2024

阿里雲系統角色AliyunLogDefaultRole具備讀取Logstore資料及將資料投遞到OSS Bucket中的許可權。您可以授予OSS投遞任務(新版)使用AliyunLogDefaultRole角色來讀取源Logstore中的資料並將資料投遞到OSS Bucket中。

同帳號投遞

如果您的Log ServiceLogstore和OSS Bucket屬於同一個帳號,則只需使用該帳號完成雲資源訪問授權。具體操作,請參見雲資源訪問授權

授權完成後,OSS投遞任務(新版)將使用AliyunLogDefaultRole角色來讀取源Logstore中的資料並將資料投遞到OSS Bucket中。即您在建立OSS投遞任務(新版)時,需在寫OSS RAM角色讀Logstore RAM角色中輸入AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何擷取,請參見擷取AliyunLogDefaultRole的ARNARN

跨帳號投遞

如果Log ServiceLogstore和OSS Bucket不屬於同一個阿里雲帳號,例如Logstore屬於阿里雲帳號A,OSS Bucket屬於帳號B,則兩個帳號分別完成雲資源訪問授權(具體操作,請參見雲資源訪問授權)後,還需進行如下配置。

  1. 使用阿里雲帳號B登入RAM 控制台

  2. 在左側導覽列中,選擇身份管理 > 角色

  3. 修改AliyunLogDefaultRole角色的信任策略。

    1. 在RAM角色列表中,單擊AliyunLogDefaultRole

    2. 信任策略頁簽中,單擊編輯信任策略

    3. 將原有的信任策略替換為如下內容,然後單擊儲存信任策略

      Service配置項中添加阿里雲帳號A的ID@log.aliyuncs.com,並根據實際情況替換該值。您可以在帳號中心中查看阿里雲帳號ID。

      該策略表示帳號A有許可權通過Log Service擷取臨時Token來操作帳號B中的資源。

      {
        "Statement": [
         {
           "Action": "sts:AssumeRole",
           "Effect": "Allow",
           "Principal": {
             "Service": [
               "帳號A對應的阿里雲帳號ID@log.aliyuncs.com",
               "log.aliyuncs.com"
             ]
           }
         }
        ],
        "Version": "1"
      }

    授權完成後,OSS投遞任務(新版)將使用帳號A下的AliyunLogDefaultRole角色來讀取源Logstore中的資料,使用帳號B下的AliyunLogDefaultRole角色將資料投遞到OSS Bucket中。即您在建立OSS投遞任務(新版)時,需在寫OSS RAM角色中輸入帳號B的AliyunLogDefaultRole角色的ARN(例如acs:ram::11****13:role/aliyunlogdefaultrole),在讀Logstore RAM角色中輸入帳號A的AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何擷取,請參見擷取AliyunLogDefaultRole的ARNARN

擷取AliyunLogDefaultRole的ARN

  1. 登入RAM 控制台

  2. 在左側導覽列中,選擇身份管理 > 角色

  3. 在RAM角色列表中,單擊AliyunLogDefaultRole。

  4. 基本資料地區,擷取ARN。

    請記錄該資訊,如果您在建立OSS投遞任務時使用的是預設角色,則需要輸入該資訊。