全部產品
Search
文件中心

Web Application Firewall:為RAM使用者授予日誌查詢分析許可權

更新時間:Jul 01, 2024

如果RAM使用者需要使用Web Application Firewall(Web Application Firewall,簡稱WAF)日誌查詢分析服務,需要由阿里雲帳號為其進行授權操作。

背景資訊

開通和使用WAF日誌查詢分析服務,具體涉及以下許可權。
授予許可權支援的帳號類型
開通Log Service(全域一次性操作)阿里雲帳號
授權WAF即時寫入日誌資料到Log Service的專屬日誌庫(全域一次性操作)
  • 阿里雲帳號
  • 具備AliyunLogFullAccess許可權的RAM使用者
  • 具備指定許可權的RAM使用者
使用日誌查詢分析功能
  • 阿里雲帳號
  • 具備AliyunLogFullAccess許可權的RAM使用者
  • 具備指定許可權的RAM使用者
您也可以根據實際需求為RAM使用者授予相關許可權。
授權情境授予許可權操作步驟
為RAM使用者授予Log Service產品的所有操作許可權。授予Log Service全部系統管理權限AliyunLogFullAccess具體操作步驟,請參見為RAM使用者授權
阿里雲帳號開通WAF日誌查詢分析服務並完成授權操作後,為RAM使用者授予日誌查看許可權。授予唯讀許可權AliyunLogReadOnlyAccess具體操作步驟,請參見為RAM使用者授權
僅為RAM使用者授予開通和使用WAF日誌查詢分析服務的許可權,不授予Log Service產品的其他系統管理權限。建立自訂授權策略,並為RAM使用者授予該自訂授權策略。具體操作步驟,請參見本文操作步驟章節。

操作步驟

  1. 使用Resource Access Management員登入RAM控制台

  2. 在左側導覽列,選擇許可權管理 > 權限原則

  3. 權限原則頁面,單擊建立權限原則

  4. 建立權限原則頁面,單擊指令碼編輯頁簽。

  5. 輸入以下策略內容,單擊下一步:編輯基本資料
    重要 請將以下策略內容中的${Project}${Logstore}分別替換為您的WAFLog Service專屬Project和Logstore的名稱。
    {
      "Version": "1",
      "Statement": [
          {
          "Action": "log:GetProject",
          "Resource": "acs:log:*:*:project/${Project}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateProject",
          "Resource": "acs:log:*:*:project/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:ListLogStores",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateLogStore",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:GetIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        }
      ]
    }
  6. 輸入權限原則名稱備忘

  7. 單擊確定

  8. 身份管理 > 使用者頁面,找到需要授權的RAM使用者,並單擊操作列的添加許可權
  9. 選擇您所建立的自訂授權策略,單擊確定
    完成授權後,被授權的RAM使用者將可以開通和使用WAF日誌查詢分析服務,但無法動作記錄服務供應項目的其他功能。