在使用日誌審計服務進行跨帳號採集雲產品日誌時,需先授予Log Service採集相關雲產品日誌的許可權以及授權多個主帳號之間的資料同步。您可以直接使用具備特定許可權的RAM使用者的密鑰或者參見本文進行自訂授權。
背景資訊
日誌審計服務支援採集同一主帳號下的雲產品日誌,也支援跨主帳號採集雲產品日誌。 進行跨帳號採集雲產品日誌時,當前主帳號和其他主帳號需要進行雙向授權。
當前主帳號的授權在建立服務關聯角色AliyunServiceRoleForSLSAudit時,自動完成。具體操作,請參見首次配置。其他主帳號要使用自訂許可權時,需參見本文完成授權。
當前主帳號允許其他帳號同步資料到當前主帳號的審計Logstore。
其他主帳號允許同步資料到當前主帳號的審計Logstore。
使用日誌審計服務涉及多個授權角色和策略,對應關係如下所示:
操作步驟
使用其他帳號登入RAM 控制台。
建議使用RAM使用者登入,且該RAM使用者需具備RAM讀寫權限(例如已被授予AliyunRAMFullAccess策略)。
建立權限原則AliyunLogAuditServiceMonitorAccess。
在左側導覽列中,選擇,單擊建立權限原則。
在建立權限原則頁面中,單擊指令碼配置。
將配置框中的原有指令碼替換為如下內容。
{ "Version": "1", "Statement": [ { "Action": "log:*", "Resource": [ "acs:log:*:*:project/slsaudit-*", "acs:log:*:*:app/audit" ], "Effect": "Allow" }, { "Action": [ "rds:ModifySQLCollectorPolicy", "vpc:*FlowLog*", "drds:*SqlAudit*", "kvstore:ModifyAuditLogConfig", "polardb:ModifyDBClusterAuditLogCollector", "config:UpdateIntegratedServiceStatus", "config:StartConfigurationRecorder", "config:PutConfigurationRecorder", "pvtz:DescribeResolveAnalysisScopeStatus", "pvtz:SetResolveAnalysisScopeStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "config.aliyuncs.com", "pvtz.aliyuncs.com" ] } } } ] }單擊繼續編輯基本資料,配置如下參數,並單擊確定。
參數
說明
名稱
配置為AliyunLogAuditServiceMonitorAccess。
備忘
建立策略的簡單注釋。
建立sls-audit-service-monitor角色。
在左側導覽列中,選擇,然後單擊建立角色。
在選擇類型設定精靈中,選擇阿里雲服務,單擊下一步。
在配置角色設定精靈中,配置如下參數後,然後單擊完成。
參數
說明
角色類型
選擇普通服務角色。
角色名稱
配置為sls-audit-service-monitor。
選擇受信服務
選擇Log Service。
在建立完成設定精靈中,單擊為角色授權。
單擊新增授權。
授予sls-audit-service-monitor角色AliyunLogAuditServiceMonitorAccess策略。
在新增授權面板中,選擇自訂策略下的AliyunLogAuditServiceMonitorAccess策略和系統策略下的ReadOnlyAccess策略。單擊確定。
修改sls-audit-service-monitor角色的信任策略。
在信任策略管理頁簽,單擊編輯信任策略,將配置框中的原有指令碼替換為如下內容,然後單擊儲存信任策略。
其中,中心主帳號ID請根據實際值替換,您可以在帳號中心查看阿里雲帳號的ID。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "中心主帳號ID@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }