全部產品
Search
文件中心

Simple Log Service:自訂授權日誌採集與同步

更新時間:Jun 30, 2024

在使用日誌審計服務進行跨帳號採集雲產品日誌時,需先授予Log Service採集相關雲產品日誌的許可權以及授權多個主帳號之間的資料同步。您可以直接使用具備特定許可權的RAM使用者的密鑰或者參見本文進行自訂授權。

背景資訊

日誌審計服務支援採集同一主帳號下的雲產品日誌,也支援跨主帳號採集雲產品日誌。 進行跨帳號採集雲產品日誌時,當前主帳號和其他主帳號需要進行雙向授權。

說明

當前主帳號的授權在建立服務關聯角色AliyunServiceRoleForSLSAudit時,自動完成。具體操作,請參見首次配置。其他主帳號要使用自訂許可權時,需參見本文完成授權。

  • 當前主帳號允許其他帳號同步資料到當前主帳號的審計Logstore。

  • 其他主帳號允許同步資料到當前主帳號的審計Logstore。

使用日誌審計服務涉及多個授權角色和策略,對應關係如下所示:

操作步驟

  1. 使用其他帳號登入RAM 控制台

    建議使用RAM使用者登入,且該RAM使用者需具備RAM讀寫權限(例如已被授予AliyunRAMFullAccess策略)。

  2. 建立權限原則AliyunLogAuditServiceMonitorAccess。

    1. 在左側導覽列中,選擇許可權管理 > 權限原則,單擊建立權限原則

    2. 建立權限原則頁面中,單擊指令碼配置

      將配置框中的原有指令碼替換為如下內容。

      {
          "Version": "1",
          "Statement": [
              {
                  "Action": "log:*",
                  "Resource": [
                      "acs:log:*:*:project/slsaudit-*",
                      "acs:log:*:*:app/audit"
                  ],
                  "Effect": "Allow"
              },
              {
                  "Action": [
                      "rds:ModifySQLCollectorPolicy",
                      "vpc:*FlowLog*",
                      "drds:*SqlAudit*",
                      "kvstore:ModifyAuditLogConfig",
                      "polardb:ModifyDBClusterAuditLogCollector",
                      "config:UpdateIntegratedServiceStatus",
                      "config:StartConfigurationRecorder",
                      "config:PutConfigurationRecorder",
                      "pvtz:DescribeResolveAnalysisScopeStatus",
                      "pvtz:SetResolveAnalysisScopeStatus"
                  ],
                  "Resource": "*",
                  "Effect": "Allow"
              },
              {
                  "Action": "ram:CreateServiceLinkedRole",
                  "Resource": "*",
                  "Effect": "Allow",
                  "Condition": {
                      "StringEquals": {
                          "ram:ServiceName": [
                              "config.aliyuncs.com",
                              "pvtz.aliyuncs.com"
                          ]
                      }
                  }
              }
          ]
      }
    3. 單擊繼續編輯基本資料,配置如下參數,並單擊確定

      參數

      說明

      名稱

      配置為AliyunLogAuditServiceMonitorAccess

      備忘

      建立策略的簡單注釋。

  3. 建立sls-audit-service-monitor角色。

    1. 在左側導覽列中,選擇身份管理 > 角色,然後單擊建立角色

    2. 選擇類型設定精靈中,選擇阿里雲服務,單擊下一步

    3. 配置角色設定精靈中,配置如下參數後,然後單擊完成

      參數

      說明

      角色類型

      選擇普通服務角色

      角色名稱

      配置為sls-audit-service-monitor

      選擇受信服務

      選擇Log Service

    4. 建立完成設定精靈中,單擊為角色授權

    5. 單擊新增授權

  4. 授予sls-audit-service-monitor角色AliyunLogAuditServiceMonitorAccess策略。

    新增授權面板中,選擇自訂策略下的AliyunLogAuditServiceMonitorAccess策略和系統策略下的ReadOnlyAccess策略。單擊確定

  5. 修改sls-audit-service-monitor角色的信任策略。

    1. 信任策略管理頁簽,單擊編輯信任策略,將配置框中的原有指令碼替換為如下內容,然後單擊儲存信任策略

      其中,中心主帳號ID請根據實際值替換,您可以在帳號中心查看阿里雲帳號的ID。

       {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "中心主帳號ID@log.aliyuncs.com",
                          "log.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }