再也不用为权限配置烦恼了——日志服务权限助手实践

XX 年 X 月 X 日 21:12 办公室

由于安全考虑，我需要在日志服务中，为一个子账号配置权限来做数据消费。然而，日志服务中涉及的功能模块众多，模块之间还存在一些依赖关系。正当我为了配置权限而焦头烂额之际，身后忽然冒出一个黑影。那黑影隐约露出鬼魅笑容，晒出一句：“喂，你居然还没弄完？”。
“哇，师兄你走路都没声的，最近心血少少，你别吓我好嘛。”
“哼，本来想指点你一条光明大道，既然这样那就回见了。”说完回头作势要走。
我一听，立马拉过一张椅子，请师兄坐下，一边递上新买的红牛一边说道：“就知道师兄您玉树临风，我对师兄的敬仰有如滔滔江水……”
“行啦，都这么晚了，还请我喝红牛，看在你这么拼命的份上，我就告诉你吧。”
师兄说罢推了推眼镜，镜片闪烁之间，接过鼠标。忽然之间，不知从哪里传来哆啦A梦掏出法宝的背景音，只见师兄点开日志服务左边导航栏上一图标，页面上书“权限助手”四个大字。
“用这个就好了，你是要配置数据消费，只要选中数据消费模块，就可以生成 RAM 策略。”
“原来如此，果然不愧是师兄。”
我一面回答，一面四处张望，才发现原来声音来自旁边一哥们的短信铃声，不由松了一口气，定下心来，开始仔细研究起这个东东。

权限助手

权限助手是日志服务为了简化 RAM 策略配置而推出的小工具，旨在帮助用户进行日志服务的权限配置。用权限助手配置权限，再也不用辛苦查帮助文档了，哪里需要点哪里，从此再也不用为权限配置烦恼了。

权限配置的痛点

在权限配置编写的过程中，我们往往需要对权限所需要的 action 和 resource 有充分的了解，而日志服务涉及到很多功能模块，每个模块有自己的 action 与对应的 resource。之前我们编写的时候需要自己去查询帮助文档，而每个功能所需要的功能模块又不清晰，模块之间又有依赖关系。这就导致查询文档会比较麻烦，再加上手工编写策略容易出错，所以编写权限很容易十分酸爽。

而 RAM 默认的可视化编辑工具其实只是部分解决了手工编写容易出错的问题，对于具体需要的 action 和 resource 仍然需要用户自己去填写。

为了能更好的解决这些情况，日志服务推出了权限助手来帮助用户进行权限配置。

功能介绍

在权限助手中可以针对普通项目和 APP 两种场景，对日志服务中的功能模块进行权限分配。根据用户选择的功能模块，自动生成对应的 action 和 resource，免去用户查询文档的苦恼，点击之间就可以完成权限配置工作。

同时可以限定权限的资源范围为所有项目、当前项目或者是固定单个 logstore。配合限制条件可以做到对请求时间，IP，是否启用安全信道和多因素认证等进行限定。

在生成好权限策略之后仍然可以直接进行编辑，去除掉不需要的权限。完成之后可以直接复制到剪贴板，然后去 RAM 新建权限策略并粘贴，就可以完成权限策略的新建。

常用场景

控制台操作权限配置

基于安全考虑，我们往往需要授予 RAM 用户最小可用权限，按照需要进行功能模块的权限分配。
在权限助手中，将日志服务参照控制台的功能点做了模块的划分。
原本不同模块之间其实是有依赖关系的。例如，如果要在控制台上进行 logstore 操作，那么首先就需要项目的权限，不然我们进入项目页面就会报错。而复杂的功能，如可视化权限更是需要依赖数据查询权限，logstore 权限，项目权限。而更进一步的告警功能又依赖于可视化功能，这样配置下来当然很麻烦。

而有了权限助手之后，配置操作权限再也不用考虑功能之间的依赖关系了，这些全都由权限助手帮助完成了，所以在分配项目，logstore，查询，可视化，告警等等常规控制台操作权限的时候都只需要在权限助手中进行勾选就可以完成权限策略的构建。

数据加工子账号控制台操作权限

要为子账号配置数据加工的控制台操作权限，可以直接在权限助手中选择 数据处理 > 数据加工 模块，并按照需要选择只读或者管理，权限助手会默认选中使用数据加工所需要的项目、Logstore、可视化、查询等权限。其中项目、Logstore、查询这些权限模块可以由用户选择只读或者管理权限。

数据加工用子账号AK权限

与上一个场景不同，如果是需要一个数据加工用的子账号 AK，则需要为源 Logstore 配置 数据消费 > 流式消费 权限，同时还要配置目标 Logstore 配置 数据接入 > 编程数据接入权限。
同时拥有这两个权限的子账号 AK 才能配置为数据加工用 AK。

告警权限设置

如果要赋予一个子账号操作告警的权限，选择 数据处理 > 告警 权限就可以了。权限助手会将操作告警所需要的权限都加入选择中。其中项目，Logstore 以及数据查询权限都可以按需要选择只读或管理权。

APP 权限设置

如果需要对“成本管家”，“日志审计服务”两个 APP 进行赋权，可以在最上方模式选择中选取 APP。权限助手这时会默认选中 APP 所需要的权限，并且资源锁定为 APP 所使用的项目。
在 APP 模式下除了可以继续像正常模式中一样进行额外的权限分配，也可以选择禁止用户使用 APP。在禁止状态下，不会出现功能模块选择。

云产品接入权限设置

云产品接入权限，如 WAF 日志，DRDS SQL审计日志，云防火墙日志等，只需要选择 数据处理 > 可视化 权限就可以满足需求。因为云产品接入主要涉及的就是可视化仪表盘相关的权限。