全部產品
Search

搜尋本產品

    Web Application Firewall:為RAM使用者授予日誌查詢分析許可權

    文件中心

    Web Application Firewall:為RAM使用者授予日誌查詢分析許可權

    更新時間:Jul 01, 2024

    如果RAM使用者需要使用Web Application Firewall(Web Application Firewall,簡稱WAF)日誌查詢分析服務,需要由阿里雲帳號為其進行授權操作。

    背景資訊

    開通和使用WAF日誌查詢分析服務,具體涉及以下許可權。
    授予許可權支援的帳號類型
    開通Log Service(全域一次性操作)阿里雲帳號
    授權WAF即時寫入日誌資料到Log Service的專屬日誌庫(全域一次性操作)
    • 阿里雲帳號
    • 具備AliyunLogFullAccess許可權的RAM使用者
    • 具備指定許可權的RAM使用者
    使用日誌查詢分析功能
    • 阿里雲帳號
    • 具備AliyunLogFullAccess許可權的RAM使用者
    • 具備指定許可權的RAM使用者
    您也可以根據實際需求為RAM使用者授予相關許可權。
    授權情境授予許可權操作步驟
    為RAM使用者授予Log Service產品的所有操作許可權。授予Log Service全部系統管理權限AliyunLogFullAccess具體操作步驟,請參見為RAM使用者授權
    阿里雲帳號開通WAF日誌查詢分析服務並完成授權操作後,為RAM使用者授予日誌查看許可權。授予唯讀許可權AliyunLogReadOnlyAccess具體操作步驟,請參見為RAM使用者授權
    僅為RAM使用者授予開通和使用WAF日誌查詢分析服務的許可權,不授予Log Service產品的其他系統管理權限。建立自訂授權策略,並為RAM使用者授予該自訂授權策略。具體操作步驟,請參見本文操作步驟章節。

    操作步驟

    1. 使用Resource Access Management員登入RAM控制台

    2. 在左側導覽列,選擇許可權管理 > 權限原則

    3. 權限原則頁面,單擊建立權限原則

    4. 建立權限原則頁面,單擊指令碼編輯頁簽。

    5. 輸入以下策略內容,單擊下一步:編輯基本資料
      重要 請將以下策略內容中的${Project}${Logstore}分別替換為您的WAFLog Service專屬Project和Logstore的名稱。
      {
  "Version": "1",
  "Statement": [
      {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateProject",
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    }
  ]
}

    6. 輸入權限原則名稱備忘

    7. 單擊確定

    8. 身份管理 > 使用者頁面,找到需要授權的RAM使用者,並單擊操作列的添加許可權
    9. 選擇您所建立的自訂授權策略,單擊確定
      完成授權後,被授權的RAM使用者將可以開通和使用WAF日誌查詢分析服務,但無法動作記錄服務供應項目的其他功能。