全部产品
Search

搜索本产品

    操作审计:操作事件投递的系统权限策略

    文档中心

    操作审计:操作事件投递的系统权限策略

    更新时间:Mar 29, 2024

    本文为您介绍操作事件投递的系统权限策略(AliyunActionTrailDeliveryPolicy)的应用场景和权限说明。

    应用场景

    • 访问日志服务SLS(Log Service)

      当您创建跟踪并设置了SLS Project地址用于接收操作事件时,操作审计需要向您指定的SLS Project创建Logstore并写入操作事件。此时需要访问日志服务SLS的相关权限。

    • 访问对象存储OSS(Object Storage Service)

      当您创建跟踪并设置了OSS存储空间用于接收操作事件时,操作审计需要向您指定的OSS存储空间写入操作事件。此时需要访问对象存储OSS的相关权限。

    • 访问大数据计算服务MaxCompute(MaxCompute)

      当您创建跟踪并设置了MaxCompute项目用于接收操作事件时,操作审计需要向您指定的MaxCompute项目表写入操作事件。此时需要访问大数据计算服务MaxCompute的相关权限。

    权限策略说明

    权限策略名称:AliyunActionTrailDeliveryPolicy

    权限策略内容:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject",
                "oss:GetBucketInfo",
                "oss:GetBucketLifecycle",
                "oss:GetBucketLocation",
                "kms:ListKeys",
                "kms:Listalias",
                "kms:ListAliasesByKeyId",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:GetProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex",
                "log:GetLogStoreLogs"
            ],
            "Resource": [
                "acs:log:*:*:project/*/logstore/actiontrail_*",
                "acs:log:*:*:project/*/logstore/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource": "acs:log:*:*:project/*/dashboard/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch"
            ],
            "Resource": [
                "acs:log:*:*:project/*/savedsearch/actiontrail_*",
                "acs:log:*:*:project/*/savedsearch/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": "odps:updateUsersToAdmin",
            "Resource": "acs:odps:*:*:projects/actiontrail_*"
        }
    ]
}

    权限策略说明:操作审计使用此策略访问SLS和OSS中的资源。权限说明如下表所示。

    Action

    说明

    oss:GetBucketLocation

    查询OSS所在地域

    oss:PutObject

    向OSS写入操作事件

    oss:GetBucketInfo

    查询OSS Bucket的相关信息

    oss:GetBucketLifecycle

    查询OSS Bucket生命周期

    kms:ListKeys

    查询密钥列表

    kms:Listalias

    查询别名列表

    kms:ListAliasesByKeyId

    查询指定密钥的别名

    kms:DescribeKey

    查询密钥详情

    kms:GenerateDataKey

    生成数据密钥

    kms:Decrypt

    将密文解密为明文

    log:GetProject

    查询Project是否存在

    log:PostLogStoreLogs

    向SLS写入操作事件

    log:GetLogstore

    查询Logstore是否存在

    log:CreateLogstore

    创建Logstore

    log:CreateIndex

    创建索引

    log:UpdateIndex

    更新索引

    log:GetIndex

    查询索引

    log:GetLogStoreLogs

    查询Logstore存放的日志

    log:CreateDashboard

    创建看板

    log:UpdateDashboard

    更新看板

    log:CreateSavedSearch

    创建快速查询

    log:UpdateSavedSearch

    更新快速查询

    odps:updateUsersToAdmin

    更新项目管理角色成员