Log Service定時SQL任務運行時,將在源Logstore中執行SQL分析操作,並將分析結果儲存到目標儲存中。您可以授予定時SQL任務使用自訂角色來完成以上操作。如果源Logstore和目標Logstore屬於同一個阿里雲帳號,您可參考本文檔完成授權操作。定時SQL任務支援Logstore和MetricStore,本文以Logstore為例進行說明。
前提條件
已建立RAM角色。具體操作,請參見建立可信實體為阿里雲服務的RAM角色。
建立RAM角色時,必須選擇可信實體類型為阿里雲服務。
請檢查角色的信任策略如下,
Service
內容至少包含"log.aliyuncs.com"
。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" }
步驟一:授予RAM角色分析源Logstore的許可權
授予RAM角色分析源Logstore的許可權後,定時SQL任務可以使用該角色在Logstore中執行SQL分析操作。
使用阿里雲帳號登入RAM控制台。
建立具備分析源Logstore日誌許可權的策略。
在左側導覽列,選擇 。
單擊建立權限原則。
在建立權限原則頁面中,單擊指令碼配置。
將配置框中的原有指令碼替換為如下內容。
精確授權。
例如源Project名稱為log-project-prod,源Logstore名稱為website_log。在實際情境中,請根據實際情況替換Project名稱和Logstore名稱。
重要權限原則中的Logstore包括了Logstore和MetricStore。當您的操作對象為MetricStore時,如下策略同樣適用。
{ "Version":"1", "Statement":[ { "Action":[ "log:PostProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-prod/logstore/website_log", "acs:log:*:*:project/log-project-prod/logstore/website_log/*" ], "Effect":"Allow" }, { "Action":[ "log:GetProjectQuery", "log:PutProjectQuery", "log:DeleteProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-prod" ], "Effect":"Allow" } ] }
模糊比對授權。
例如源Project名稱為log-project-dev-a、log-project-dev-b、log-project-dev-c等,源Logstore名稱為website_a_log、website_b_log、website_c_log等,則您可以使用模糊比對授權。在實際情境中,請根據實際情況替換Project名稱和Logstore名稱。
{ "Version":"1", "Statement":[ { "Action":[ "log:PostProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log", "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log/*" ], "Effect":"Allow" }, { "Action":[ "log:GetProjectQuery", "log:PutProjectQuery", "log:DeleteProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-dev-*" ], "Effect":"Allow" } ] }
單擊繼續編輯基本資料,配置如下參數,並單擊確定。
參數
說明
名稱
配置策略名稱稱。例如log-scheduled-sql-policy。
備忘
建立策略的簡單注釋。
為RAM角色授權。
在左側導覽列中,選擇 。
單擊目標RAM角色對應的新增授權。
選擇自訂策略,並選中步驟2中建立的權限原則(例如log-scheduled-sql-policy),然後單擊確定。
確認授權結果,單擊完成。
擷取RAM角色標識(ARN)。
在該角色的基本資料中查看,例如acs:ram::13****44:role/logrole。請記錄該資訊,如果您在建立定時SQL任務時使用的是自訂角色,則需要輸入該資訊。
步驟二:授予RAM角色寫目標Logstore的許可權
授予RAM角色寫目標Logstore的許可權後,定時SQL任務可以使用該角色將SQL分析結果寫入到目標Logstore中。
使用阿里雲帳號登入RAM控制台。
建立具備訪問目標Logstore許可權的策略。
在左側導覽列,選擇 。
單擊建立權限原則。
在建立權限原則頁面中,單擊指令碼配置。
將配置框中的原有指令碼替換為如下內容。
精確授權。
例如目標Project名稱為log-project-prod,目標Logstore名稱為website_log_output。在實際情境中,請根據實際情況替換Project名稱和Logstore名稱。
重要權限原則中的Logstore包括了Logstore和MetricStore。當您的操作對象為MetricStore時,如下策略同樣適用。
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-prod/logstore/website_log_output", "Effect": "Allow" } ] }
模糊比對授權。
例如目標Project名稱為log-project-dev-a、log-project-dev-b、log-project-dev-c等,目標Logstore名稱為website_a_log_output、website_b_log_output、website_c_log_output等,則您可以使用模糊比對授權。在實際情境中,請根據實際情況替換Project名稱和Logstore名稱。
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log_output", "Effect": "Allow" } ] }
單擊繼續編輯基本資料,配置如下參數,並單擊確定。
參數
說明
名稱
配置策略名稱稱。例log-sink-write-policy。
備忘
建立策略的簡單注釋。
為RAM角色授權。
在左側導覽列中,選擇 。
單擊目標RAM角色對應的新增授權。
選擇自訂策略,並選中步驟2中建立的權限原則(例如log-sink-write-policy),單擊確定。
確認授權結果,單擊完成。
擷取RAM角色標識(ARN)。
在該角色的基本資料中查看,例如acs:ram::13****44:role/logrole。請記錄該資訊,如果您在建立定時SQL任務時使用的是自訂角色,則需要輸入該資訊。