無影雲電腦支援將終端使用者的動作記錄投遞到Log ServiceSLS的日誌庫,以便通過Log Service實現對終端使用者動作記錄的審計及監控管理,並針對可疑動作記錄及時發出警示,避免資訊泄露,以保證業務資料安全。本文介紹投遞使用者動作記錄的許可權說明及操作步驟。
背景資訊
使用投遞使用者動作記錄功能前,您需要瞭解以下背景資訊:
Log Service是雲原生觀測與分析平台,為Log、Metric、Trace等資料提供大規模、低成本、即時的平台化服務。Log Service提供一站式資料擷取、加工、查詢與分析、可視化、警示、消費與投遞等功能,全面提升研發、營運、營運、安全等情境的數字化能力。詳細資料,請參見什麼是Log Service。
日誌庫(Logstore)是Log Service中日誌資料的採集、儲存和查詢單元。詳細資料,請參見日誌庫(Logstore)。
通過無影雲電腦投遞使用者動作記錄的過程不收取費用。但投遞使用者動作記錄功能依賴於Log Service,使用者動作記錄投遞到Log Service後,Log Service會收取儲存日誌的費用,費用詳情請參見計費概述。
服務關聯角色是與特定的雲端服務關聯的角色,可以更好地配置雲端服務正常操作所必須的許可權,避免誤操作帶來的風險。更多關於服務關聯角色的資訊,請參見服務關聯角色。
當您首次使用無影雲電腦的投遞使用者動作記錄功能時,系統將自動建立一個服務關聯角色,並為其授予權限原則。具體資訊如下:
角色名稱:AliyunServiceRoleForGwsLogDelivery
權限原則:AliyunServiceRolePolicyForGwsLogDelivery
許可權說明:無影雲電腦使用服務關聯角色(AliyunServiceRoleForGwsLogDelivery)來訪問Log Service的日誌庫資訊,以完成日誌投遞任務。
如果您無需使用該服務關聯角色(AliyunServiceRoleForGwsLogDelivery),您可以將其刪除,但必須先通過控制台或者OpenAPI刪除依賴該服務關聯角色的雲電腦資源,即取消投遞。具體操作,請參見刪除RAM角色。
前提條件
您已開通並授權Log Service。具體操作,請參見快速入門。
操作步驟
登入無影雲電腦控制台。
在左側導覽列,選擇。
單擊使用者動作記錄頁簽,然後單擊右上方的投遞到SLS日誌庫。
(條件)首次使用該功能時,在彈出的無影雲電腦服務關聯角色對話方塊中單擊確定。
在投遞到SLS日誌庫面板中配置日誌庫,您可以新增一個日誌庫,也可以選擇一個現有的日誌庫。配置完畢後單擊確定。
常見問題
為什麼使用RAM使用者操作時,無法自動建立無影雲電腦服務關聯角色(AliyunServiceRoleForGwsLogDelivery)?
RAM使用者(子帳號)需要擁有指定的許可權(CreateServiceLinkedRole),才能自動建立或刪除服務關聯角色(AliyunServiceRoleForGwsLogDelivery)。因此,在RAM使用者無法自動建立服務關聯角色(AliyunServiceRoleForGwsLogDelivery)時,您需要為其添加以下權限原則。
請將主帳號ID替換為您實際的阿里雲帳號(主帳號)ID。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主帳號ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"log-delivery.gws.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}