再也不用為權限配置煩惱了——日志服務權限助手實踐

XX 年 X 月 X 日 21:12 辦公室

由于安全考慮，我需要在日志服務中，為一個子賬号配置權限來做資料消費。然而，日志服務中涉及的功能子產品衆多，子產品之間還存在一些依賴關系。正當我為了配置權限而焦頭爛額之際，身後忽然冒出一個黑影。那黑影隐約露出鬼魅笑容，曬出一句：“喂，你居然還沒弄完？”。

“哇，師兄你走路都沒聲的，最近心血少少，你别吓我好嘛。”

“哼，本來想指點你一條光明大道，既然這樣那就回見了。”說完回頭作勢要走。

我一聽，立馬拉過一張椅子，請師兄坐下，一邊遞上新買的紅牛一邊說道：“就知道師兄您玉樹臨風，我對師兄的敬仰有如滔滔江水……”

“行啦，都這麼晚了，還請我喝紅牛，看在你這麼拼命的份上，我就告訴你吧。”

師兄說罷推了推眼鏡，鏡片閃爍之間，接過滑鼠。忽然之間，不知從哪裡傳來哆啦A夢掏出法寶的背景音，隻見師兄點開日志服務左邊導航欄上一圖示，頁面上書“權限助手”四個大字。

“用這個就好了，你是要配置資料消費，隻要選中資料消費子產品，就可以生成 RAM 政策。”

“原來如此，果然不愧是師兄。”

我一面回答，一面四處張望，才發現原來聲音來自旁邊一哥們的短信鈴聲，不由松了一口氣，定下心來，開始仔細研究起這個東東。

權限助手

權限助手是日志服務為了簡化 RAM 政策配置而推出的小工具，旨在幫助使用者進行日志服務的權限配置。用權限助手配置權限，再也不用辛苦查幫助文檔了，哪裡需要點哪裡，從此再也不用為權限配置煩惱了。

權限配置的痛點

在權限配置編寫的過程中，我們往往需要對權限所需要的 action 和 resource 有充分的了解，而日志服務涉及到很多功能子產品，每個子產品有自己的 action 與對應的 resource。之前我們編寫的時候需要自己去查詢幫助文檔，而每個功能所需要的功能子產品又不清晰，子產品之間又有依賴關系。這就導緻查詢文檔會比較麻煩，再加上手工編寫政策容易出錯，是以編寫權限很容易十分酸爽。

而 RAM 預設的可視化編輯工具其實隻是部分解決了手工編寫容易出錯的問題，對于具體需要的 action 和 resource 仍然需要使用者自己去填寫。

為了能更好的解決這些情況，日志服務推出了權限助手來幫助使用者進行權限配置。

功能介紹

在權限助手中可以針對普通項目和 APP 兩種場景，對日志服務中的功能子產品進行權限配置設定。根據使用者選擇的功能子產品，自動生成對應的 action 和 resource，免去使用者查詢文檔的苦惱，點選之間就可以完成權限配置工作。

同時可以限定權限的資源範圍為所有項目、目前項目或者是固定單個 logstore。配合限制條件可以做到對請求時間，IP，是否啟用安全信道和多因素認證等進行限定。

在生成好權限政策之後仍然可以直接進行編輯，去除掉不需要的權限。完成之後可以直接複制到剪貼闆，然後去 RAM 建立權限政策并粘貼，就可以完成權限政策的建立。

常用場景

控制台操作權限配置

基于安全考慮，我們往往需要授予 RAM 使用者最小可用權限，按照需要進行功能子產品的權限配置設定。

在權限助手中，将日志服務參照控制台的功能點做了子產品的劃分。

原本不同子產品之間其實是有依賴關系的。例如，如果要在控制台上進行 logstore 操作，那麼首先就需要項目的權限，不然我們進入項目頁面就會報錯。而複雜的功能，如可視化權限更是需要依賴資料查詢權限，logstore 權限，項目權限。而更進一步的告警功能又依賴于可視化功能，這樣配置下來當然很麻煩。

而有了權限助手之後，配置操作權限再也不用考慮功能之間的依賴關系了，這些全都由權限助手幫助完成了，是以在配置設定項目，logstore，查詢，可視化，告警等等正常控制台操作權限的時候都隻需要在權限助手中進行勾選就可以完成權限政策的建構。

資料加工子賬号控制台操作權限

要為子賬号配置資料加工的控制台操作權限，可以直接在權限助手中選擇 資料處理 > 資料加工 子產品，并按照需要選擇隻讀或者管理，權限助手會預設選中使用資料加工所需要的項目、Logstore、可視化、查詢等權限。其中項目、Logstore、查詢這些權限子產品可以由使用者選擇隻讀或者管理權限。

資料加工用子賬号AK權限

與上一個場景不同，如果是需要一個資料加工用的子賬号 AK，則需要為源 Logstore 配置 資料消費 > 流式消費 權限，同時還要配置目标 Logstore 配置 資料接入 > 程式設計資料接入權限。

同時擁有這兩個權限的子賬号 AK 才能配置為資料加工用 AK。

告警權限設定

如果要賦予一個子賬号操作告警的權限，選擇 資料處理 > 告警 權限就可以了。權限助手會将操作告警所需要的權限都加入選擇中。其中項目，Logstore 以及資料查詢權限都可以按需要選擇隻讀或管理權。

APP 權限設定

如果需要對“成本管家”，“日志審計服務”兩個 APP 進行賦權，可以在最上方模式選擇中選取 APP。權限助手這時會預設選中 APP 所需要的權限，并且資源鎖定為 APP 所使用的項目。

在 APP 模式下除了可以繼續像正常模式中一樣進行額外的權限配置設定，也可以選擇禁止使用者使用 APP。在禁止狀态下，不會出現功能子產品選擇。

雲産品接入權限設定

雲産品接入權限，如 WAF 日志，DRDS SQL審計日志，雲防火牆日志等，隻需要選擇 資料處理 > 可視化 權限就可以滿足需求。因為雲産品接入主要涉及的就是可視化儀表盤相關的權限。