阿里云日志服务介绍
日志服务(Log Service,简称SLS)是云原生观测与分析平台,为Log、Metric、Trace等数据提供大规模、低成本、实时的平台化服务。日志服务一站式提供数据采集、加工、查询与分析、可视化、告警、消费与投递等功能,全面提升您在研发、运维、运营、安全等场景的数字化能力。
数据加工服务是阿里云SLS推出的面向日志ETL处理的服务,主要解决数据加工过程中转换、过滤、分发、富化等场景。
使用数据加工功能时,将涉及数据读写权限以及数据加工操作权限的授予问题。本文档主要介绍:1. 使用主账号为RAM用户授权以使其具有浏览Logstore数据的能力并能够创建和修改数据加工作业;2. 在不同工作场景下使用RAM账号创建或修改数据加工的最佳实践方法。
在使用RAM用户进行数据加工作业授权配置之前,需要确保RAM用户具有创建与浏览Logstore、创建与更新索引、创建与修改数据加工任务、通过DashBoard对数据加工信息进行观察的一系列权限,这些权限需要由RAM用户对应的主账号进行授予。而在进行数据加工授权配置时,需要对应的主账号为RAM用户或角色授予作业相关的Logstroe的操作权限或者对其它账号的信任。
作为RAM用户创建数据加工作业,需要哪些准备工作
刚创建的RAM用户没有任何权限,对于主账号的任意资源都没有操作能力。在使用RAM账号配置数据加工作业时,需要使用主账号对其进行必要的授权,以便该RAM用户可以浏览Logstore、创建与修改数据加工作业、观察数据加工过程中的统计信息。接下来将详细介绍如何使用主账号创建RAM用户并对其进行必要授权。
主账号创建RAM用户
(已创建RAM用户可跳过该部分,参阅主账号为RAM用户授权部分)
- 主账号登录并在RAM访问控制界面点击用户。
- 点击创建用户。
- 编辑登录名称和显示名称。
- 点击确定。(建议在访问方式模块中开启控制台访问并自定义密码)
主账号为RAM用户授权
创建RAM用户后,该RAM用户无任何权限。您需要为该RAM用户授予系统策略或自定义策略权限。其中,访问控制提供如下两种日志服务的系统策略。
- AliyunLogFullAccess:管理日志服务的权限。
- AliyunLogReadOnlyAccess:只读访问日志服务的权限。
当系统策略无法满足您的需求,您可以通过创建自定义策略实现精细化权限管理。同时,出于安全性的考虑,日志服务建议您将RAM用户的权限设置为需求范围内的最小权限。
为RAM用户授权需通过以下步骤进入授权界面。
- 在RAM访问控制界面点击用户。
- 搜索目标用户。
- 点击添加权限。
阿里云支持多种授权方式,接下来将介绍操作便捷的极简授权以及可以对RAM用户进行严格权限设置的精确授权方法,两种授权方式对比如下。
操作便捷性 |
授权粒度 |
|
极简授权 |
非常便捷 |
宽泛 |
精确授权 |
一般 |
精细 |
极简授权
在点击添加权限按钮之后,将会弹出添加权限面板,您可以通过以下步骤对RAM用户进行授权。
- 在选择权限部分,点击系统策略。
- 搜索AliyunLogFullAccess。
- 点击目标权限策略名。
- 点击确认。
通过该授权,RAM用户将具有对主账号下日志服务的管理权限。
精确授权
登录所使用的RAM用户至少需要拥有对目标logstore索引的查看、创建和修改权限以及对于对应Dashboard的查看、创建和修改权限。为了安全性考虑,主账号可以使用精确授权的方式来严格限制RAM用户对于数据的浏览和操作权限,详细授权步骤如下:
- 在选择权限部分点击新建权限策略。
- 点击脚本编辑。
- 使用下列脚本替换配置框中的原有脚本来为RAM用户添加有限权限并进行命名,这里假定为(ram-user)。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"log:CreateLogStore",
"log:CreateIndex",
"log:UpdateIndex",
"log:Get*",
"log:ListSavedSearch"
],
"Resource": [
"acs:log:*:*:project/Project-名称/logstore/*",
"acs:log:*:*:project/Project-名称/savedsearch/*"
]
},
{
"Action": [
"log:Get*",
"log:List*"
],
"Resource": "acs:log:*:*:project/Project-名称/logstore/*",
"Effect": "Allow"
},
{
"Effect": "Allow",
"Action": [
"log:GetDashboard",
"log:CreateDashboard",
"log:UpdateDashboard"
],
"Resource": "acs:log:*:*:project/Project-名称/dashboard/internal-etl-insight*"
},
{
"Effect": "Allow",
"Action": [
"log:CreateDashboard",
"log:ListDashboard"
],
"Resource": "acs:log:*:*:project/Project-名称/dashboard/*"
},
{
"Effect": "Allow",
"Action": "log:*",
"Resource": "acs:log:*:*:project/Project-名称/job/*"
},
{
"Effect": "Allow",
"Action": [
"ram:PassRole",
"ram:GetRole",
"ram:ListRoles"
],
"Resource": "*"
}
]
}
更为详细地为RAM用户添加权限的操作请参见访问控制RAM。
- 为创建的RAM用户添加权限。在RAM访问控制面板通过RAM用户名查找用户,点击该用户右侧的添加权限按钮,选择自定义策略,点击刚创建的ram-user权限策略名称,点击确定,为目标RAM用户赋予对应权限。
作为RAM用户创建数据加工作业流程
日志服务提供的数据加工功能,通过编排内置的两百多个函数,使用协同消费组对日志数据进行消费,实现对日志数据的加工处理。
为了能够通过RAM用户账号来登录SLS日志服务以进行数据加工任务的创建和修改,需要使用其对应的主账号为RAM用户赋予Logtore的创建和浏览、Logstore索引的创建与更新、用户角色的访问与使用的权限。接下来将通过五个典型案例对使用RAM账号配置SLS数据加工进行详细介绍。
数据加工作业运行授权方案概览
权限指在一定条件下允许或拒绝对某些资源执行指定操作,权限策略是一组访问权限的集合。阿里云使用权限来描述角色、用户、用户组对具体资源的访问能力。通过对权限进行严格的限制来保障数据资源的安全。
您可以通过如下三种方式给数据加工授权,详细的配置流程请参考每种授权方式的文档:
三种授权方式特点对比:
授权方式 |
操作编辑 |
安全性等级 |
精确授权 |
写入跨账号目标 |
默认角色授权 |
非常便捷 |
非常安全 |
不支持 |
不支持 |
自定义角色授权 |
一般 |
非常安全 |
支持 |
支持 |
密钥授权 |
一般 |
用户需要保证 密钥不泄漏 |
支持 |
支持 |
注意:使用密钥授权的方式相对不安全,且可以用自定义角色授权方式进行取代,二者操作便捷度相当,推荐在精细化、跨账号场景下,使用自定义角色授权。
案例一:“默认角色”授权完成【账号内】数据流转
主账号授权系统角色AliyunLogETLRole
阿里云系统角色AliyunLogETLRole具备Logstore数据访问权限以被用来读取源Logstore中的数据、进行数据加工以及将数据加工结果写入目标Logstore。以默认角色的方式进行处理,意味着使用AliyunLogETLRole来进行数据加工作业。该角色能且只能由阿里云主账号来进行创建和删除。因此,RAM用户使用该授权需要确保主账号下存在AliyunLogETLRole角色,否则需要通知主账号对其进行创建。主账号只需在任意数据加工规则配置界面,单击授权方式下方的“授权系统角色AliyunLogETLRole”,根据页面提示,点击同意授权即可创建该角色。或者使用主账号登录云资源访问授权应用,直接创建系统角色AliyunLogETLRole。
授权完成结果如下图所示:
该操作仅在首次配置时需要。
RAM用户创建数据加工作业
- RAM用户登录日志服务控制台。
- 进入数据加工页面。
- 在Project列表区域,单击源Project。
- 在日志存储 > 日志库页签中,单击源Logstore。
- 在查询和分析页面,单击数据加工。
- 在页面右上角,选择数据的时间范围。请确保在原始日志页签中有日志数据。
- 在编辑框中,输入加工语句。
- 预览数据。
- 单击快速。日志服务支持快速预览和高级预览。更多信息,请参见预览调试概述。
- 单击预览数据。查看预览结果。
- 创建数据加工作业。
- 单击保存数据加工。
- 在创建数据加工规则面板,配置相关参数。
- 在主账号下存在阿里云系统角色AliyunLogETLRole时,RAM用户可以直接选择以“默认角色”的方式进行授权而无需进行额外操作。
- 最后点击确定即可。
更多详细内容请参阅数据加工快速入门。
案例二:“自定义角色”授权完成【账号内】数据流转
概览
当使用同一个主账号下的一个或多个角色进行数据加工配置时,需要确保相关角色具有对应logstore的操作权限,即,读数据角色具有从源logstore读取数据并进行数据加工的权限,而向目标logstore写数据的角色需要具有目标logstore的写入权限,这些权限均需要主账号进行授予。关于如何使用主账号对自定义角色授权的操作请参见“创建自定义角色并授权”部分。
接下来将分别介绍使用主账号创建读数据角色A并授权、主账号创建写数据角色B并授权以及RAM用户使用“自定义角色”授权方式配置数据加工作业。
主账号创建角色A并授权
主账号创建角色A
主账号在RAM访问控制界面可以创建目标角色,步骤如下:
- 点击左侧导航栏身份管理->角色。
- 在角色面板点击创建角色。
- 选择可信实体类型为阿里云服务。
- 选择角色类型为普通服务角色。
- 选择受信服务为日志服务,编写角色名称(role-A),点击完成 。
主账号为角色A授予读数据权限
(RAM用户需要向主账号提供源Project名和源Logstore名)
- 主账号登录RAM访问控制应用。
- 点击角色。
- 在角色面板通过角色名(role-A)搜索角色。
- 点击目标角色名右侧的添加权限进入授权界面。
- 在选择权限部分,点击新建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对源logstore的读权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为ori_read,单击确定。
- 在左侧导航栏选择身份管理->角色。
- 在角色界面查找「角色A」并单击角色名。
- 单击新增授权,选择自定义策略,并点击第八步输入的规则名称,最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:ListShards",
"log:GetCursorOrData",
"log:GetConsumerGroupCheckPoint",
"log:UpdateConsumerGroup",
"log:ConsumerGroupHeartBeat",
"log:ConsumerGroupUpdateCheckPoint",
"log:ListConsumerGroup",
"log:CreateConsumerGroup"
],
"Resource": [
"acs:log:*:*:project/源Project名/logstore/源Logstore名",
"acs:log:*:*:project/源Project名/logstore/源Logstore名/*"
],
"Effect": "Allow"
}
]
}
主账号创建角色B并授权
主账号创建角色B
主账号在RAM访问控制界面可以创建目标角色,步骤如下:
- 点击左侧导航栏身份管理->角色。
- 在角色面板点击创建角色。
- 选择可信实体类型为阿里云服务。
- 选择角色类型为普通服务角色。
- 选择受信服务为日志服务,编写角色名称(role-B),点击完成 。
主账号为角色B授予写数据权限
(RAM用户需要向主账号提供目标Project名和目标Logstore名)
- 主账号在RAM访问控制界面点击角色。
- 在角色面板通过角色名搜索角色。
- 点击目标角色名右侧的添加权限进入授权界面。
- 在选择权限部分,点击新建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对目标logstore的写权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为write,单击确定。
- 在左侧导航栏选择身份管理->角色。
- 在角色界面查找「角色B」并单击角色名。
- 单击新增授权,选择自定义策略,并点击第八步输入的规则名称,最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:Post*",
"log:BatchPost*"
],
"Resource": [
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名",
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名/*"
],
"Effect": "Allow"
}
]
}
RAM用户进行数据加工配置示例
- RAM用户登录日志服务控制台。
- 进入数据加工页面。
- 在Project列表区域,单击源Project。
- 在日志存储 > 日志库页签中,单击源Logstore。
- 在查询和分析页面,单击数据加工。
- 在页面右上角,选择数据的时间范围。请确保在原始日志页签中有日志数据。
- 在编辑框中,输入加工语句。
- 预览数据。
- 单击快速。日志服务支持快速预览和高级预览。更多信息,请参见预览调试概述。
- 单击预览数据。查看预览结果。
- 创建数据加工作业。
- 单击保存数据加工。
- 在创建数据加工规则面板,配置相关参数。
- 授权方式选择“自定义角色”,这里需要通过主账号获取自定义角色的ARN,该数据可以在主账号的RAM访问控制界面的角色面板中找到,将其复制粘贴进去即可。
- 最后点击确定即可。
更多详细内容请参阅数据加工快速入门。
案例三:“自定义角色”授权完成【跨账号】数据流转
概览
当数据加工所使用的源Logstore和目标Logstore不属于同一个阿里云账号时,除了需要不同的阿里云主账号对角色分别进行授权,目标Logstore的主账号2还需要对源Logstore的主账号1进行授信。
具体而言,就是从源logstore读取数据并进行数据加工的角色A需要具有源logstore的读取权限,而向目标logstore写入数据的角色B需要具有目标logstore的写权限。这些权限需要不同角色对应的主账号分别进行授予。同时,因为数据加工任务运行于主账号1之下,还需要主账号2修改角色B的信任策略对主账号1进行授信。接下来将对这些部分分别进行详细介绍。
主账号1创建角色A并授予logstore1读数据权限
主账号1创建角色A
(已创建角色请从使用主账号1为角色A授予读数据权限开始)
- 主账号1登录RAM访问控制界面。
- 点击左侧导航栏中角色按钮进入角色面板。
- 点击创建角色。
- 选择可信实体类型为阿里云服务。
- 选择角色类型为普通服务角色。
- 选择受信服务为日志服务。
- 编写角色名称。
- 点击完成。
主账号1为角色A授予读数据权限
(RAM用户需要向主账号1提供源Project名和源Logstore名)
- 主账号1登录RAM访问控制界面。
- 点击左侧导航栏中角色按钮进入角色面板
- 查找对应的「角色A」。
- 点击添加权限。
- 在选择权限部分,单击新建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对源logstore的读权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为ori_read,单击确定。
- 在左侧导航栏选择身份管理->角色。
- 在角色界面查找「角色A」。
- 单击角色名右侧新增授权,选择自定义策略,并点击第八步输入的规则名称。
- 最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:ListShards",
"log:GetCursorOrData",
"log:GetConsumerGroupCheckPoint",
"log:UpdateConsumerGroup",
"log:ConsumerGroupHeartBeat",
"log:ConsumerGroupUpdateCheckPoint",
"log:ListConsumerGroup",
"log:CreateConsumerGroup"
],
"Resource": [
"acs:log:*:*:project/源Project名/logstore/源Logstore名",
"acs:log:*:*:project/源Project名/logstore/源Logstore名/*"
],
"Effect": "Allow"
}
]
}
主账号2创建角色B并授权
主账号2创建自定义角色B
(已创建角色请从主账号2为角色B授予写数据权限开始)
- 主账号2登录RAM访问控制界面。
- 点击左侧导航栏中角色按钮进入角色面板。
- 点击创建角色。
- 选择可信实体类型为阿里云服务。
- 选择角色类型为普通服务角色。
- 选择受信服务为日志服务。
- 编写角色名称(role-B)。
- 点击完成。
主账号2为角色B授予写数据权限
(RAM用户需要向主账号2提供目标Project名和目标Logstore名)
- 主账号2登录RAM访问控制界面。
- 点击左侧导航栏中角色按钮进入角色面板
- 查找对应的目标「角色B」。
- 点击角色B右侧添加权限。
- 在选择权限部分,单击新建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对目标logstore的写权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为write,单击确定。
- 在左侧导航栏选择身份管理->角色。
- 在角色界面查找「角色B」。
- 单击角色B右侧新增授权,选择自定义策略,并点击第四步输入的规则名称。
- 最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:Post*",
"log:BatchPost*"
],
"Resource": [
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名",
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名/*"
],
"Effect": "Allow"
}
]
}
主账号2通过角色B向主账号1授信
- 主账号2登录RAM控制台。
- 在左侧导航栏中,选择身份管理 > 角色。
- 在RAM角色列表中搜索并单击角色B。
- 在信任策略管理页签中,单击修改信任策略。
- 修改信任策略。配置项内容如下方代码区所示,您需要在Service配置项中添加主账号1的ID,该数据可以在主账号1的账号中心或者将鼠标移动到主账号1的头像上进行查看。该策略表示主账号1有权限通过日志服务获取临时Token来操作主账号2的资源。
{
"Statement": [
{
"Action": "sts:AssumeRole",
"Effect": "Allow",
"Principal": {
"Service": [
"主账号1的ID@log.aliyuncs.com"
]
}
}
],
"Version": "1"
}
RAM用户进行数据加工配置示例
- RAM用户登录日志服务控制台。
- 进入数据加工页面。
- 在Project列表区域,单击源Project。
- 在日志存储 > 日志库页签中,单击源Logstore。
- 在查询和分析页面,单击数据加工。
- 在页面右上角,选择数据的时间范围。请确保在原始日志页签中有日志数据。
- 在编辑框中,输入加工语句。
- 预览数据。
- 单击快速。日志服务支持快速预览和高级预览。更多信息,请参见预览调试概述。
- 单击预览数据。查看预览结果。
- 创建数据加工作业。
- 单击保存数据加工。
- 在创建数据加工规则面板,配置相关参数。
- 授权方式选择“自定义角色”,这里需要通过主账号获取自定义角色的ARN,该数据可以在主账号的RAM访问控制界面的角色面板中找到,将其复制粘贴进去即可。
- 最后点击确定即可。
更多详细内容请参阅数据加工快速入门。
案例四:“密钥”授权完成【账号内】数据流转
概览
使用密钥的授权方式意味着要使用对应的RAM用户进行相关的数据加工操作,因此读数据RAM用户S需要具有源Logstore的读权限,写数据RAM用户T需要具有目标Logstore的写权限,使用同一个阿里云账号下多用户进行数据加工样例如下图所示。
使用密钥的授权方式需要获取目标RAM用户的AccessKey ID以及AccessKey Secret(如果已拥有,可以跳过该部分)。需要注意的是,这些数据只有创建的时候会显示一次,不支持查询操作。如果忘记了,可以将其删除后重新进行创建,详细操作步骤为:
- 主账号登录RAM访问控制应用。
- 在用户列表搜索目标RAM用户。
- 点击用户名进入用户信息面板。
- 点击创建AccessKey。
- 记录AccessKey ID以及AccessKey Secret。
主账号为RAM用户S授予源logstore读权限
(RAM用户需要向主账号提供源Project名和源Logstore名)
- 主账号登录RAM访问控制界面。
- 在左侧导航栏中,选择权限管理->权限策略。
- 在权限策略界面单击创建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对源logstore的读权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为ori_read,单击确定。
- 在左侧导航栏选择身份管理->用户。
- 在用户界面查找「RAM用户S」并单击用户名。
- 单击权限管理->新增授权,选择自定义策略,搜索并点击第六步输入的规则名称,最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:ListShards",
"log:GetCursorOrData",
"log:GetConsumerGroupCheckPoint",
"log:UpdateConsumerGroup",
"log:ConsumerGroupHeartBeat",
"log:ConsumerGroupUpdateCheckPoint",
"log:ListConsumerGroup",
"log:CreateConsumerGroup"
],
"Resource": [
"acs:log:*:*:project/源Project名/logstore/源Logstore名",
"acs:log:*:*:project/源Project名/logstore/源Logstore名/*"
],
"Effect": "Allow"
}
]
}
主账号为RAM用户T授予目标logstore写权限
(RAM用户需要向主账号提供目标Project名和目标Logstore名)
- 主账号登录RAM访问控制应用。
- 在左侧导航栏中,选择权限管理->权限策略。
- 在权限策略界面单击创建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对目标logstore的写权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为write,单击确定。
- 在左侧导航栏选择身份管理->用户。
- 在用户界面查找「RAM用户T」并单击用户名。
- 单击权限管理->新增授权,选择自定义策略,搜索并点击第六步输入的规则名称,最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:Post*",
"log:BatchPost*"
],
"Resource": [
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名",
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名/*"
],
"Effect": "Allow"
}
]
}
RAM用户进行数据加工配置示例
- RAM用户登录日志服务控制台。
- 进入数据加工页面。
- 在Project列表区域,单击源Project。
- 在日志存储 > 日志库页签中,单击源Logstore。
- 在查询和分析页面,单击数据加工。
- 在页面右上角,选择数据的时间范围。请确保在原始日志页签中有日志数据。
- 在编辑框中,输入加工语句。
- 预览数据。
- 单击快速。日志服务支持快速预览和高级预览。更多信息,请参见预览调试概述。
- 单击预览数据。查看预览结果。
- 创建数据加工作业。
- 单击保存数据加工。
- 在创建数据加工规则面板,配置相关参数。
- 授权方式选择“密钥”,然后依次填入RAM用户S和RAM用户T的AccessKey ID以及AccessKey Secret。
- 最后点击确定即可。
更多详细内容请参阅数据加工快速入门。
案例五:“密钥”授权完成【跨账号】数据流转
概览
使用密钥的授权方式意味着要使用对应的RAM用户进行相关的数据加工操作,因而读数据RAM用户S需要具有源Logstore的读权限,写数据RAM用户T需要具有目标Logstore的写权限。该场景下使用多跨账号的多用户进行数据加工样例如图所示。
使用密钥的授权方式需要获取目标RAM用户的AccessKey ID以及AccessKey Secret(如果已拥有,可以跳过下列部分)。需要注意的是,这些数据只有创建的时候会显示一次,不支持查询操作。如果忘记了,可以将其删除后重新进行创建,详细操作步骤为:
- 主账号登录RAM访问控制应用。
- 在用户列表搜索目标RAM用户。
- 点击用户名进入用户信息面板。
- 点击创建AccessKey。
- 记录AccessKey ID以及AccessKey Secret。
主账号1为RAM用户S授予源logstore的读权限
(RAM用户需要向主账号1提供源Project名和源Logstore名)
- 主账号1登录RAM访问控制应用。
- 在左侧导航栏中,选择权限管理->权限策略。
- 在权限策略界面单击创建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对源logstore的读权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为ori_read,单击确定。
- 在左侧导航栏选择身份管理->用户。
- 在用户界面查找「RAM用户S」并单击用户名。
- 单击权限管理->新增授权,选择自定义策略,搜索并点击第六步输入的规则名称,最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:ListShards",
"log:GetCursorOrData",
"log:GetConsumerGroupCheckPoint",
"log:UpdateConsumerGroup",
"log:ConsumerGroupHeartBeat",
"log:ConsumerGroupUpdateCheckPoint",
"log:ListConsumerGroup",
"log:CreateConsumerGroup"
],
"Resource": [
"acs:log:*:*:project/源Project名/logstore/源Logstore名",
"acs:log:*:*:project/源Project名/logstore/源Logstore名/*"
],
"Effect": "Allow"
}
]
}
主账号2为RAM用户T授予目标logstore的写权限
(RAM用户需要向主账号2提供目标Project名和目标Logstore名)
- 主账号2登录RAM访问控制应用。
- 在左侧导航栏中,选择权限管理->权限策略。
- 在权限策略界面单击创建权限策略。
- 在创建权限策略界面找到并单击脚本编辑。
- 使用下列脚本替换编辑框中的原有脚本以配置对目标logstore的写权限并单击下一步:编辑基本信息。
- 输入规则名称,这里假定为write,单击确定。
- 在左侧导航栏选择身份管理->用户。
- 在用户界面查找「RAM用户T」并单击用户名。
- 单击权限管理->新增授权,选择自定义策略,搜索并点击第六步输入的规则名称,最后点击确定和完成。
{
"Version": "1",
"Statement": [
{
"Action": [
"log:Post*",
"log:BatchPost*"
],
"Resource": [
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名",
"acs:log:*:*:project/目标Project名/logstore/目标Logstore名/*"
],
"Effect": "Allow"
}
]
}
RAM用户进行数据加工配置示例
- RAM用户登录日志服务控制台。
- 进入数据加工页面。
- 在Project列表区域,单击源Project。
- 在日志存储 > 日志库页签中,单击源Logstore。
- 在查询和分析页面,单击数据加工。
- 在页面右上角,选择数据的时间范围。请确保在原始日志页签中有日志数据。
- 在编辑框中,输入加工语句。
- 预览数据。
- 单击快速。日志服务支持快速预览和高级预览。更多信息,请参见预览调试概述。
- 单击预览数据。查看预览结果。
- 创建数据加工作业。
- 单击保存数据加工。
- 在创建数据加工规则面板,配置相关参数。
- 授权方式选择“密钥”,然后依次填入RAM用户S和RAM用户T的AccessKey ID以及AccessKey Secret。
- 最后点击确定即可。
更多详细内容请参阅数据加工快速入门。