帮助文档 Logo
平台使用
阿里云
百度云
移动云
智算服务
教育生态
登录 →
帮助文档 Logo
平台使用 阿里云 百度云 移动云 智算服务 教育生态
登录
  1. 首页
  2. 阿里云
  3. 日志服务
  4. 操作指南
  5. 日志应用
  6. 日志审计(旧版)
  7. 自定义授权日志采集与同步

自定义授权日志采集与同步

  • 日志审计(旧版)
  • 发布于 2025-04-22
  • 0 次阅读
文档编辑
文档编辑

在使用日志审计服务进行跨账号采集云产品日志时,需先授予日志服务采集相关云产品日志的权限以及授权多个主账号之间的数据同步。您可以直接使用具备特定权限的RAM用户的密钥或者参见本文进行自定义授权。

背景信息

日志审计服务支持采集同一主账号下的云产品日志,也支持跨主账号采集云产品日志。 进行跨账号采集云产品日志时,当前主账号和其他主账号需要进行双向授权。

说明

当前主账号的授权在创建服务关联角色AliyunServiceRoleForSLSAudit时,自动完成。具体操作,请参见首次配置。其他主账号要使用自定义权限时,需参见本文完成授权。

  • 当前主账号允许其他账号同步数据到当前主账号的审计Logstore。

  • 其他主账号允许同步数据到当前主账号的审计Logstore。

使用日志审计服务涉及多个授权角色和策略,对应关系如下所示:

  • 当前主账号

    角色

    权限策略

    AliyunServiceRoleForSLSAudit

    AliyunServiceRolePolicyForSLSAudit

  • 其他账号

    角色

    权限策略

    sls-audit-service-monitor

    • ReadOnlyAccess

    • AliyunLogAuditServiceMonitorAccess

操作步骤

  1. 使用其他账号登录RAM 控制台。

    建议使用RAM用户登录,且该RAM用户需具备RAM读写权限(例如已被授予AliyunRAMFullAccess策略)。

  2. 创建权限策略AliyunLogAuditServiceMonitorAccess。

    1. 在左侧导航栏中,选择权限管理 > 权限策略,单击创建权限策略。

    2. 在创建权限策略页面中,单击脚本配置。

      将配置框中的原有脚本替换为如下内容。 

      {
    "Version": "1",
    "Statement": [
        {
            "Action": "log:*",
            "Resource": [
                "acs:log:*:*:project/slsaudit-*",
                "acs:log:*:*:app/audit"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "rds:ModifySQLCollectorPolicy",
                "vpc:*FlowLog*",
                "drds:*SqlAudit*",
                "kvstore:ModifyAuditLogConfig",
                "polardb:ModifyDBClusterAuditLogCollector",
                "config:UpdateIntegratedServiceStatus",
                "config:StartConfigurationRecorder",
                "config:PutConfigurationRecorder",
                "pvtz:DescribeResolveAnalysisScopeStatus",
                "pvtz:SetResolveAnalysisScopeStatus"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": "ram:CreateServiceLinkedRole",
            "Resource": "*",
            "Effect": "Allow",
            "Condition": {
                "StringEquals": {
                    "ram:ServiceName": [
                        "config.aliyuncs.com",
                        "pvtz.aliyuncs.com"
                    ]
                }
            }
        }
    ]
}

    3. 单击继续编辑基本信息,配置如下参数,并单击确定。

      参数

      说明

      名称

      配置为AliyunLogAuditServiceMonitorAccess。

      备注

      创建策略的简单注释。

  3. 创建sls-audit-service-monitor角色。

    1. 在左侧导航栏中,选择身份管理 > 角色,然后单击创建角色。

    2. 在选择类型配置向导中,选择阿里云服务,单击下一步。

    3. 在配置角色配置向导中,配置如下参数后,然后单击完成。

      参数

      说明

      角色类型

      选择普通服务角色。

      角色名称

      配置为sls-audit-service-monitor。

      选择受信服务

      选择日志服务。

    4. 在创建完成配置向导中,单击为角色授权。

    5. 单击新增授权。

  4. 授予sls-audit-service-monitor角色AliyunLogAuditServiceMonitorAccess策略。

    在新增授权面板中,选择自定义策略下的AliyunLogAuditServiceMonitorAccess策略和系统策略下的ReadOnlyAccess策略。单击确定。

  5. 修改sls-audit-service-monitor角色的信任策略。

    1. 在信任策略管理页签,单击编辑信任策略,将配置框中的原有脚本替换为如下内容,然后单击保存信任策略。

      其中,中心主账号ID请根据实际值替换,您可以在账号中心查看阿里云账号的ID。 

       {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "中心主账号ID@log.aliyuncs.com",
                    "log.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}
相关文章

使用前须知 2025-04-22 10:47

本文介绍日志审计服务的使用限制、费用说明等信息。 使用限制

授予RAM用户操作日志审计服务的权限 2025-04-22 10:47

本文介绍如何授予RAM用户操作日志审计服务的权限。 前提条件 已创建RAM用户。具体操作,请参见创建RAM用户。

云产品侧额外费用须知 2025-04-22 10:47

本文介绍在日志审计服务中开启云产品日志采集后,部分云产品侧额外的费用说明。 VPC 费用说明<

开启和管理日志采集功能 2025-04-22 10:47

日志审计服务支持快速开启日志采集功能,本文介绍开启日志采集功能以及相关操作的步骤。 前提条件

采集多账号云产品日志 2025-04-22 10:47

日志审计服务支持跨账号采集云产品日志(除K8s相关日志外)到当前账号下的Logstore中。本文介绍配置多账号采集的操作步骤。 前提条件

采集策略 2025-04-22 10:47

日志审计提供一键式跨账号采集云产品日志及中心化存储功能。对于已开通日志审计的阿里云产品,日志服务默认采集所有符合限定条件的云产品日志。而通过采集策略,可对账号、地域或实例等因素进行限制,实现精细化的日志采集目的。本文介绍如何配置采集策略。

目录
Copyright © 2025 your company All Rights Reserved. Powered by 博智数字服务平台.
闽ICP备08105208号-1