匯出日誌資料到MaxCompute時,需要使用預設角色或自訂角色讀取Logstore中的日誌資料。本文介紹如何配置預設角色和自訂角色讀取Log Service許可權。
為預設角色授權
操作步驟
使用阿里雲帳號(主帳號)或RAM使用者登入阿里雲控制台。
單擊雲資源訪問授權完成授權。
說明如果阿里雲主帳號沒有預設角色
AliyunLogDefaultRole,RAM使用者只有第一次單擊後會產生該角色。Log Service扮演
AliyunLogDefaultRole角色來訪問您在其他雲產品中的資源。預設角色
AliyunLogDefaultRole的權限原則請參見AliyunLogDefaultRole。
後續操作
AliyunLogDefaultRole角色預設具備讀取Logstore資料的許可權。在建立MaxCompute投遞任務時,選擇讀Log Service授權為預設角色。更多資訊,請參見建立MaxCompute投遞任務(新版)。
為自訂角色授權
操作步驟
授予RAM角色讀取Logstore資料的許可權後,MaxCompute投遞任務可以使用該角色讀取Logstore中的資料。
使用阿里雲帳號(主帳號)或Resource Access Management員登入RAM控制台。
建立阿里雲服務需要扮演的RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色。
重要建立RAM角色時,必須選擇可信實體類型為阿里雲服務,且必須選擇受信服務為Log Service。
請檢查角色的信任策略如下,
Service內容至少包含"log.aliyuncs.com"。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" }
建立一個自訂權限原則,該策略具備讀取Logstore資料的許可權。
您可選擇使用精確授權或模糊比對授權。
精確授權
在建立權限原則頁面,單擊指令碼編輯頁簽,並使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
重要指令碼中的
Project名稱和Logstore名稱請根據實際情況替換。{ "Version":"1", "Statement":[ { "Action":[ "log:GetCursorOrData", "log:ListShards" ], "Resource":[ "acs:log:*:*:project/Project名稱/logstore/Logstore名稱" ], "Effect":"Allow" } ] }模糊比對授權
在建立權限原則頁面,單擊指令碼編輯頁簽,並使用以下指令碼替換配置框中的原有內容。具體操作,請參見通過指令碼編輯模式建立自訂權限原則。
重要例如Project名稱為log-project-dev-a、log-project-dev-b、log-project-dev-c等,Logstore名稱為website_a_log、website_b_log、website_c_log等,則您可以使用模糊比對授權。
指令碼中的
log-project-dev-*和website_*_log*請根據實際情況替換。
{ "Version":"1", "Statement":[ { "Action":[ "log:GetCursorOrData", "log:ListShards" ], "Resource":[ "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log*" ], "Effect":"Allow" } ] }為RAM角色添加建立的自訂許可權。具體操作,請參見為RAM角色授權。
後續操作
完成授權後,您可在建立MaxCompute投遞任務時,選擇讀Log Service授權為自訂角色。更多資訊,請參見建立MaxCompute投遞任務(新版)。