无影云电脑支持将终端用户的操作日志投递到日志服务SLS的日志库,以便通过日志服务实现对终端用户操作日志的审计及监控管理,并针对可疑操作日志及时发出告警,避免信息泄露,以保证业务数据安全。本文介绍投递用户操作日志的权限说明及操作步骤。
背景信息
使用投递用户操作日志功能前,您需要了解以下背景信息:
日志服务是云原生观测与分析平台,为Log、Metric、Trace等数据提供大规模、低成本、实时的平台化服务。日志服务提供一站式数据采集、加工、查询与分析、可视化、告警、消费与投递等功能,全面提升研发、运维、运营、安全等场景的数字化能力。详细信息,请参见什么是日志服务。
日志库(Logstore)是日志服务中日志数据的采集、存储和查询单元。详细信息,请参见日志库(Logstore)。
通过无影云电脑投递用户操作日志的过程不收取费用。但投递用户操作日志功能依赖于日志服务,用户操作日志投递到日志服务后,日志服务会收取存储日志的费用,费用详情请参见计费概述。
服务关联角色是与特定的云服务关联的角色,可以更好地配置云服务正常操作所必须的权限,避免误操作带来的风险。更多关于服务关联角色的信息,请参见服务关联角色。
当您首次使用无影云电脑的投递用户操作日志功能时,系统将自动创建一个服务关联角色,并为其授予权限策略。具体信息如下:
角色名称:AliyunServiceRoleForGwsLogDelivery
权限策略:AliyunServiceRolePolicyForGwsLogDelivery
权限说明:无影云电脑使用服务关联角色(AliyunServiceRoleForGwsLogDelivery)来访问日志服务的日志库信息,以完成日志投递任务。
如果您无需使用该服务关联角色(AliyunServiceRoleForGwsLogDelivery),您可以将其删除,但必须先通过控制台或者OpenAPI删除依赖该服务关联角色的云电脑资源,即取消投递。具体操作,请参见删除RAM角色。
前提条件
您已开通并授权日志服务。具体操作,请参见快速入门。
操作步骤
登录无影云电脑企业版控制台。
在左侧导航栏,选择。
单击用户操作日志页签,然后单击右上角的投递到SLS日志库。
(条件)首次使用该功能时,在弹出的无影云电脑服务关联角色对话框中单击确定。
在投递到SLS日志库面板中配置日志库,您可以新增一个日志库,也可以选择一个现有的日志库。配置完毕后单击确定。
常见问题
为什么使用RAM用户操作时,无法自动创建无影云电脑服务关联角色(AliyunServiceRoleForGwsLogDelivery)?
RAM用户(子账号)需要拥有指定的权限(CreateServiceLinkedRole),才能自动创建或删除服务关联角色(AliyunServiceRoleForGwsLogDelivery)。因此,在RAM用户无法自动创建服务关联角色(AliyunServiceRoleForGwsLogDelivery)时,您需要为其添加以下权限策略。
请将主账号ID替换为您实际的阿里云账号(主账号)ID。
{
"Statement": [
{
"Action": [
"ram:CreateServiceLinkedRole"
],
"Resource": "acs:ram:*:主账号ID:role/*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": [
"log-delivery.gws.aliyuncs.com"
]
}
}
}
],
"Version": "1"
}