RAM ユーザーで WAF ログ照会と分析サービスを使用する場合は、Alibaba Cloud アカウントを使用して RAM ユーザーに必要な権限を付与する必要があります。

このタスクについて

WAF ログ照会と分析サービスを有効にして使用するには、次の権限が必要です。
操作 必要なアカウントタイプと権限
Log Service の有効化 (この操作の後もサービスは有効化されたままです) Alibaba Cloud アカウント
WAF に権限付与して Log Service 内の専用ログストアにリアルタイムでのログデータの書き込み (権限付与は、この操作の後も有効化されたままです)
  • Alibaba Cloud アカウント
  • AliyunLogFullAccess 権限を持つ RAM ユーザー
  • 特定の権限を持つ RAM ユーザー
ログ照会と分析サービスの使用
  • Alibaba Cloud アカウント
  • AliyunLogFullAccess 権限を持つ RAM ユーザー
  • 特定の権限を持つ RAM ユーザー
必要に応じて RAM ユーザーに権限を付与します。
シナリオ 権限 手順
すべての Log Service 操作に対する権限を RAM ユーザーに付与します。 AliyunLogFullAccess 詳細は、「RAMユーザー」をご参照ください。
WAF ログ照会と分析サービスを有効にした後、RAM ユーザーにログ表示権限を付与し、Alibaba Cloud アカウントに対する権限付与を完了します。 AliyunLogReadOnlyAccess 詳細は、「RAMユーザー」をご参照ください。
WAF ログ照会と分析サービスを有効にして使用する RAM ユーザー権限を付与します。 この RAM ユーザーには、Log Service に対する他の管理権限が付与されていません。 カスタム権限付与ポリシー 詳細は、次の手順をご参照ください。

手順

  1. RAM コンソールにログインします。
  2. [ポリシー] ページで [カスタムポリシー] タブをクリックします。
  3. ページの右上隅の [権限付与ポリシーの作成] をクリックします。
  4. [権限付与ポリシーの作成] をクリックします。 テンプレートで 権限付与ポリシー名を指定し、ポリシーコンテンツフィールドに以下を入力します。
    次のポリシーコンテンツの ${Project}${Logstore} を WAF Log Service 内の専用プロジェクトとログストアの名前に置き換えます。 
    





{
  "Version": "1",
  "Statement": [
      {
      "Action": "log:GetProject",
      "Resource": "acs:log:*:*:project/${Project}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateProject",
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:ListLogStores",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateLogStore",
      "Resource": "acs:log:*:*:project/${Project}/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:GetIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateIndex",
      "Resource": "acs:log:*:*:project/${Project}/logstore/${Logstore}",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateDashboard",
      "Resource": "acs:log:*:*:project/${Project}/dashboard/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:CreateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    },
    {
      "Action": "log:UpdateSavedSearch",
      "Resource": "acs:log:*:*:project/${Project}/savedsearch/*",
      "Effect": "Allow"
    }
  ]
}
  5. [権限付与ポリシーの作成] をクリックします。
  6. [ユーザー] ページに移動し、RAM ユーザーを探し、[許可] をクリックします。
  7. 作成した権限付与ポリシーを追加し、[OK] をクリックします。
    この RAM ユーザーは、WAF ログ照会と分析サービスを有効にして使用しますが、Log Service の他の機能は使用できません。