如果RAM用户需要使用Web应用防火墙(Web Application Firewall,简称WAF)日志查询分析服务,需要由阿里云账号为其进行授权操作。

背景信息

开通和使用WAF日志查询分析服务,具体涉及以下权限。
授予权限 支持的账号类型
开通日志服务(全局一次性操作) 阿里云账号
授权WAF实时写入日志数据到日志服务的专属日志库(全局一次性操作)
  • 阿里云账号
  • 具备AliyunLogFullAccess权限的RAM用户
  • 具备指定权限的RAM用户
使用日志查询分析功能
  • 阿里云账号
  • 具备AliyunLogFullAccess权限的RAM用户
  • 具备指定权限的RAM用户
您也可以根据实际需求为RAM用户授予相关权限。
授权场景 授予权限 操作步骤
为RAM用户授予日志服务产品的所有操作权限。 授予日志服务全部管理权限AliyunLogFullAccess 具体操作步骤,请参见为RAM用户授权
阿里云账号开通WAF日志查询分析服务并完成授权操作后,为RAM用户授予日志查看权限。 授予只读权限AliyunLogReadOnlyAccess 具体操作步骤,请参见为RAM用户授权
仅为RAM用户授予开通和使用WAF日志查询分析服务的权限,不授予日志服务产品的其他管理权限。 创建自定义授权策略,并为RAM用户授予该自定义授权策略。 具体操作步骤,请参见本文操作步骤章节。

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略
  3. 权限策略页面,单击创建权限策略
  4. 创建权限策略页面,单击脚本编辑页签。
  5. 输入以下策略内容,单击下一步:编辑基本信息
    注意 请将以下策略内容中的${Project}${Logstore}分别替换为您的WAF日志服务专属Project和Logstore的名称。 
    {
  "Version": "1",
  "Statement": [
      {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateProject",
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    }
  ]
}
  6. 输入权限策略名称备注
  7. 单击确定
  8. 身份管理 > 用户页面,找到需要授权的RAM用户,并单击操作列的添加权限
  9. 选择您所创建的自定义授权策略,单击确定
    完成授权后,被授权的RAM用户将可以开通和使用WAF日志查询分析服务,但无法操作日志服务产品的其他功能。