日志服务定时SQL任务运行时,将在源Logstore中执行SQL分析操作,并将分析结果保存到目标存储中。您可以授予日志服务使用自定义角色来完成以上操作。如果源Logstore和目标Logstore不在同一个阿里云账号,您可参考本文档完成授权操作。定时SQL任务支持Logstore和MetricStore,本文以Logstore为例进行说明。
前提条件
已在阿里云账号A下创建RAM角色role-a,在账号B下创建RAM角色role-b。具体操作,请参见创建可信实体为阿里云服务的RAM角色。
创建RAM角色时,必须选择可信实体类型为阿里云服务,且必须选择受信服务为日志服务。
请检查角色的信任策略如下,
Service内容至少包含"log.aliyuncs.com"。{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com" ] } } ], "Version": "1" }
授予账号A下的RAM角色role-a分析源Logstore的权限
授予账号A下的RAM角色role-a分析源Logstore的权限后,定时SQL任务可以使用该角色在账号A下的Logstore中执行SQL分析操作。
使用账号A登录RAM控制台。
创建具备分析源Logstore日志权限的策略。
在左侧导航栏,选择。
单击创建权限策略。
在创建权限策略页面中,单击脚本编辑,然后将编辑框中的原有脚本替换为如下内容,您可选择使用精确授权或模糊匹配授权。
精确授权
例如源Project名称为log-project-prod,源Logstore名称为website_log。在实际场景中,请根据实际情况替换Project名称和Logstore名称。
重要权限策略中的Logstore包括了Logstore和MetricStore。当您的操作对象为MetricStore时,如下策略同样适用。
{ "Version":"1", "Statement":[ { "Action":[ "log:PostProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-prod/logstore/website_log", "acs:log:*:*:project/log-project-prod/logstore/website_log/*" ], "Effect":"Allow" }, { "Action":[ "log:GetProjectQuery", "log:PutProjectQuery", "log:DeleteProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-prod" ], "Effect":"Allow" } ] }模糊匹配授权
例如源Project名称为log-project-dev-a、log-project-dev-b、log-project-dev-c等,源Logstore名称为website_a_log、website_b_log、website_c_log等,则您可以使用模糊匹配授权。在实际场景中,请根据实际情况替换Project名称和Logstore名称。
{ "Version":"1", "Statement":[ { "Action":[ "log:PostProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log", "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log/*" ], "Effect":"Allow" }, { "Action":[ "log:GetProjectQuery", "log:PutProjectQuery", "log:DeleteProjectQuery" ], "Resource":[ "acs:log:*:*:project/log-project-dev-*" ], "Effect":"Allow" } ] }单击确定后继续编辑基本信息,配置如下参数。
参数
说明
名称
配置策略名称。
备注
创建策略的简单注释。
为RAM角色
role-a授权。在左侧导航栏中,选择。
单击目标RAM角色对应的新增授权。
选择步骤2中创建的权限策略,并单击确认新增授权。
完成后单击关闭。
授予账号B下的RAM角色role-b写目标Logstore的权限
授予账号B下的RAM角色role-b写目标Logstore的权限后,定时SQL任务可以使用该角色将账号A下的SQL分析结果写入到账号B下的Logstore中。
使用账号B登录RAM控制台。
创建具备写目标Logstore权限的策略。
在左侧导航栏,选择。
单击创建权限策略。
在创建权限策略页面中,单击脚本编辑,然后将编辑框中的原有脚本替换为如下内容,您可选择使用精确授权或模糊匹配授权。
精确授权
例如目标Project名称为log-project-prod,目标Logstore名称为website_log_output。在实际场景中,请根据实际情况替换Project名称和Logstore名称。
重要权限策略中的Logstore包括了Logstore和MetricStore。当您的操作对象为MetricStore时,如下策略同样适用。
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-prod/logstore/website_log_output", "Effect": "Allow" } ] }模糊匹配授权
例如目标Project名称为log-project-dev-a、log-project-dev-b、log-project-dev-c等,目标Logstore名称为website_a_log_output、website_b_log_output、website_c_log_output等,则您可以使用模糊匹配授权。在实际场景中,请根据实际情况替换Project名称和Logstore名称。
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log_output", "Effect": "Allow" } ] }单击确定后继续编辑基本信息,配置如下参数。
参数
说明
名称
配置策略名称。
备注
创建策略的简单注释。
为RAM角色
role-b授权。在左侧导航栏中,选择。
单击目标RAM角色对应的新增授权。
选择步骤2中创建的权限策略,并单击确认新增授权。
完成后单击关闭。
修改RAM角色
role-b的信任策略。在RAM角色列表中,单击RAM角色
role-b。在信任策略页签中,单击编辑信任策略。
修改信任策略。
在Service配置项中添加阿里云账号A的ID,并根据实际情况替换该值。您可以在账号中心查看阿里云账号ID。
该策略表示账号A有权限通过日志服务获取临时Token来操作账号B中的资源。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "log.aliyuncs.com", "阿里云账号A的ID@log.aliyuncs.com" ] } } ], "Version": "1" }完成后单击保存信任策略。