阿里云系统角色AliyunLogDefaultRole具备读取Logstore数据及将数据投递到OSS Bucket中的权限。您可以授予OSS投递任务(新版)使用AliyunLogDefaultRole角色来读取源Logstore中的数据并将数据投递到OSS Bucket中。
同账号投递
如果您的日志服务Logstore和OSS Bucket属于同一个账号,则只需使用该账号完成云资源访问授权。授权链接为云资源访问授权。
授权完成后,OSS投递任务(新版)将使用AliyunLogDefaultRole角色来读取源Logstore中的数据并将数据投递到OSS Bucket中。即您在创建OSS投递任务(新版)时,需在写OSS RAM角色和读Logstore RAM角色中输入AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何获取,请参见获取AliyunLogDefaultRole的ARN。
跨账号投递
如果日志服务Logstore和OSS Bucket不属于同一个阿里云账号,例如Logstore属于阿里云账号A,OSS Bucket属于账号B,则两个账号分别完成云资源访问授权(授权链接为云资源访问授权)后,还需进行如下配置。
- 使用阿里云账号B登录RAM 控制台。
- 在左侧导航栏中,选择身份管理 > 角色。
- 修改AliyunLogDefaultRole角色的信任策略。
- 在RAM角色列表中,单击AliyunLogDefaultRole。
- 在信任策略管理页签中,单击修改信任策略。
- 修改信任策略。
在Service配置项中添加阿里云账号A的ID@log.aliyuncs.com,并根据实际情况替换该值。您可以在账号中心查看阿里云账号ID。
该策略表示账号A有权限通过日志服务获取临时Token来操作账号B中的资源。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "账号A对应的阿里云账号ID@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" } - 单击确定。
授权完成后,OSS投递任务(新版)将使用账号A下的AliyunLogDefaultRole角色来读取源Logstore中的数据,使用账号B下的AliyunLogDefaultRole角色将数据投递到OSS Bucket中。即您在创建OSS投递任务(新版)时,需在写OSS RAM角色中输入账号B的AliyunLogDefaultRole角色的ARN(例如acs:ram::11****13:role/aliyunlogdefaultrole),在读Logstore RAM角色中输入账号A的AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何获取,请参见获取AliyunLogDefaultRole的ARN。
获取AliyunLogDefaultRole的ARN
- 登录RAM 控制台。
- 在左侧导航栏中,选择身份管理 > 角色。
- 在RAM角色列表中,单击AliyunLogDefaultRole。
- 在基本信息区域,获取ARN。请记录该信息,如果您在创建OSS投递任务时使用的是默认角色,则需要输入该信息。
内容没看懂? 不太想学习?想快速解决? 有偿解决: 联系专家
阿里云企业补贴进行中: 马上申请
腾讯云限时活动1折起,即将结束: 马上收藏
同尘科技为腾讯云授权服务中心。
购买腾讯云产品享受折上折,更有现金返利:同意关联,立享优惠
转转请注明出处:https://www.yunxiaoer.com/163241.html