如果RAM用户需要使用WAF日志查询分析服务,需要由阿里云账号为其进行授权操作。

背景信息

开通和使用WAF日志查询分析服务,具体涉及以下权限。
操作类型 支持的操作账号类型
开通日志服务(全局一次性操作) 阿里云账号
授权WAF实时写入日志数据到日志服务的专属日志库(全局一次性操作)
  • 阿里云账号
  • 具备AliyunLogFullAccess权限的RAM用户
  • 具备指定权限的RAM用户
使用日志查询分析功能
  • 阿里云账号
  • 具备AliyunLogFullAccess权限的RAM用户
  • 具备指定权限的RAM用户
您也可以根据实际需求为RAM用户授予相关权限。
授权场景 授予权限 操作步骤
为RAM用户授予日志服务产品的所有操作权限。 授予日志服务全部管理权限AliyunLogFullAccess 具体操作步骤,请参见为RAM用户授权
阿里云账号开通WAF日志查询分析服务并完成授权操作后,为RAM用户授予日志查看权限。 授予只读权限AliyunLogReadOnlyAccess 具体操作步骤,请参见为RAM用户授权
仅为RAM用户授予开通和使用WAF日志查询分析服务的权限,不授予日志服务产品的其他管理权限。 创建自定义授权策略,并为RAM用户授予该自定义授权策略。 具体操作步骤,请参见本文操作步骤章节。

操作步骤

  1. 使用阿里云账号登录RAM控制台
  2. 在左侧导航栏,选择权限管理 > 权限策略管理
  3. 权限策略管理页面,单击创建权限策略
  4. 新建自定义权限策略页面,输入策略名称备注
  5. 选择脚本配置模式,输入以下策略内容
    注意 请将以下策略内容中的 ${Project}${Logstore}分别替换为您的WAF日志服务专属Project和Logstore的名称。
    {
      "Version": "1",
      "Statement": [
          {
          "Action": "log:GetProject",
          "Resource": "acs:log:*:*:project/${Project}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateProject",
          "Resource": "acs:log:*:*:project/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:ListLogStores",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateLogStore",
          "Resource": "acs:log:*:*:project/${Project}/logstore/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:GetIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateIndex",
          "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateDashboard",
          "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:CreateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        },
        {
          "Action": "log:UpdateSavedSearch",
          "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
          "Effect": "Allow"
        }
      ]
    }
    waf授权策略
  6. 单击确定
  7. 人员管理 > 用户页面,找到需要授权的RAM用户,并单击操作列的添加权限
  8. 选择您所创建的自定义授权策略,单击确定
    完成授权后,被授权的RAM用户将可以开通和使用WAF日志查询分析服务,但无法操作日志服务产品的其他功能。