如果RAM使用者需要使用Web Application Firewall(Web Application Firewall,簡稱WAF)日誌查詢分析服務,需要由阿里雲帳號為其進行授權操作。
背景資訊
開通和使用WAF日誌查詢分析服務,具體涉及以下許可權。
您也可以根據實際需求為RAM使用者授予相關許可權。
授予許可權 | 支援的帳號類型 |
開通Log Service(全域一次性操作) | 阿里雲帳號 |
授權WAF即時寫入日誌資料到Log Service的專屬日誌庫(全域一次性操作) |
|
使用日誌查詢分析功能 |
|
授權情境 | 授予許可權 | 操作步驟 |
為RAM使用者授予Log Service產品的所有操作許可權。 | 授予Log Service全部系統管理權限AliyunLogFullAccess | 具體操作步驟,請參見為RAM使用者授權。 |
阿里雲帳號開通WAF日誌查詢分析服務並完成授權操作後,為RAM使用者授予日誌查看許可權。 | 授予唯讀許可權AliyunLogReadOnlyAccess | 具體操作步驟,請參見為RAM使用者授權。 |
僅為RAM使用者授予開通和使用WAF日誌查詢分析服務的許可權,不授予Log Service產品的其他系統管理權限。 | 建立自訂授權策略,並為RAM使用者授予該自訂授權策略。 | 具體操作步驟,請參見本文操作步驟章節。 |
操作步驟
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在權限原則頁面,單擊建立權限原則。
在建立權限原則頁面,單擊指令碼編輯頁簽。
- 輸入以下策略內容,單擊下一步:編輯基本資料。重要 請將以下策略內容中的
${Project}
與${Logstore}
分別替換為您的WAFLog Service專屬Project和Logstore的名稱。{ "Version": "1", "Statement": [ { "Action": "log:GetProject", "Resource": "acs:log:*:*:project/${Project}", "Effect": "Allow" }, { "Action": "log:CreateProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" }, { "Action": "log:ListLogStores", "Resource": "acs:log:*:*:project/${Project}/logstore/*", "Effect": "Allow" }, { "Action": "log:CreateLogStore", "Resource": "acs:log:*:*:project/${Project}/logstore/*", "Effect": "Allow" }, { "Action": "log:GetIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:CreateIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:UpdateIndex", "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}", "Effect": "Allow" }, { "Action": "log:CreateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:UpdateDashboard", "Resource": "acs:log:*:*:project/${Project}/dashboard/*", "Effect": "Allow" }, { "Action": "log:CreateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" }, { "Action": "log:UpdateSavedSearch", "Resource": "acs:log:*:*:project/${Project}/savedsearch/*", "Effect": "Allow" } ] }
輸入權限原則名稱和備忘。
單擊確定。
- 在 頁面,找到需要授權的RAM使用者,並單擊操作列的添加許可權。
- 選擇您所建立的自訂授權策略,單擊確定。完成授權後,被授權的RAM使用者將可以開通和使用WAF日誌查詢分析服務,但無法動作記錄服務供應項目的其他功能。