一、机制
外部系统
日志服务
日志服务Web
登录服务
用户
自建丽eb
令牌服务(STS)
1.用户访问自连Web
2.访问令牌服务获取
临时AK
Token
返回临时AK&Token
用以请求登录服务
4.通过临时AK&Token
获取登剥Token
5.返回登录oken
6.通过登oken生成日志服务街eb访方问链接进行跳转
详见:https://help.aliyun.com/document_detail/74971.html
二、操作
2.1 子账号操作(主账号身份操作)
- 登陆ram控制台,创建子账号。
- 给子账号授予AliyunSTSAssumeRoleAccess权限。
- 创建子账号ak,并保存。
test@
.onaliyun.com
用户基本信息
编辑基本信息
用户名
UID
.onaliyun.com口复制
teste
显示名称
2021年5月24日13:40:57
创建时间
备注
认证管理
加入的组
权限管理
控制台登录管理
修改登录设置
清空登录设置
上次登录控制台时间
2021年5月24日13:41:38
控制台访问
已开启
下次登录重置密码
必须开启多因东认证
U2F安全密钥
虚拟MFA
虚拟多因素认证设备(VMFA)
启用虚拟MFA设备
循TOTP标准算法来产生6位数字验证码的应用程序.
未启用
设备状态
用户Accesskey
创建AcceSSKey
状态
最后使用时间?
创建时间
AccessKeyID
2021年5月24日13:46:27
已启用
2.2 创建操作角色(主账号身份)
- 主账号下创建角色,授予当前账号AliyunLogReadOnlyAccess权限。
RAM访问控/RAM组色理
RAM访问控制
创建RAM角色
RAM角色管理
早贸
选择类型
配置角色
创建完成
人员管理
什么是RAM角色?
RU有色机期肉维住约三RAU用,个用)一主方,不
当前可信实体类型
用户组
您云账户下的一个RAM用户(可能是代表一个移动App的后端服务)
网里云账号
其他云账户中的RAM用户(需委进行拽账户的费源访间)
用户
受信云账号下的子用户可以通过满该RAM角色来访同他的云湖,受信云账号可以是当前云账号,也
ECS实制上运行的应用程序代码(要对云贸源执行接作)
某些阿里云服务(需要对您账户中的窗源进行操作才能提供服务)
设置
同皇云服务
企业的身份提供商ldP,可以用于角色sso.
受信云务可以通过洲演RAM角色来访问您的云资源
SSO管理
RAM角色册发对时有效约汤问令(STs令胖),使其酸为一种更安全的疫于场问政限的方法,
身份提供商
特别说明
汉购管理
身份提供离功笔,进过设善SSO可以实现从企业本地监号系你登问里云控制台,您解决企业的犯一
RAU指色不于付校想村重成盘誉义是一维),如用节色的功,考BU拟哦(
用户生录认证要求
授权
创建RAM角色
输入角色名称处备注
权阳蛋曦管理
RAM角色名称
备注
RAM角色管理
LogServicerLUsethisoletoaccessyourresourcosinot
AIIYyUNLOGACCESsingBSSRole
rViceS
用于资源元教据的服务关联角色,ResourceMetaCenter使用此
AlyunSeniceRoleForResourceMetaCenter
访间您在其地云产品中的资源.
(服务关联角色)
sls-audt-servico-dispatch
sIs-audt-sorvicomonitor
3
配置角色
创建完成
选择类型
角色创建成功!
为确保角色的正常使用,建议您继续为此角色添加权限
4:
为角色授权
精确授权
- 在主账号下创建出具有sls读权限读slsreadrole角色,具有AliyunLogReadOnlyAccess权限。
- 这里的arn拷贝下来,后续代码使用。
信任策略,表示子账号具有assume权限。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "RAM": [ "acs:ram::主账号uid:root" ] } } ], "Version": "1"}
2.3 代码获取免登页面
需要修改的配置:
- SigninHost: 国内站账号'https://signin-intl.aliyun.com',国际站账号:'https://signin.aliyun.com'
- accessKeyId/accessKeySecret 子账号ak,即2.1建的ak
- roleArn:主账号下建的role,即2.2建的role
- destination:要访问的目的地
// destination取值样例: // 完整查询分析页面: https://sls4service.console.aliyun.com/lognext/project/<Project名称>/logsearch/<日志库名称>?hideTopbar=true&hideSidebar=true ## 查询页面 https://sls4service.console.aliyun.com/lognext/project/<Project名称>/logsearch/<日志库名称>?isShare=true&hideTopbar=true&hideSidebar=true // 仪表盘页面 https://sls4service.console.aliyun.com/lognext/project/<Project名称>/dashboard/<仪表盘ID>?isShare=true&hideTopbar=true&hideSidebar=true
