阿里云系统角色AliyunLogDefaultRole具备读取Logstore数据及将数据投递到OSS Bucket中的权限。您可以授予OSS投递任务(新版)使用AliyunLogDefaultRole角色来读取源Logstore中的数据并将数据投递到OSS Bucket中。
同账号投递
如果您的日志服务Logstore和OSS Bucket属于同一个账号,则只需使用该账号完成云资源访问授权。具体操作,请参见云资源访问授权。
授权完成后,OSS投递任务(新版)将使用AliyunLogDefaultRole角色来读取源Logstore中的数据并将数据投递到OSS Bucket中。即您在创建OSS投递任务(新版)时,需在写OSS RAM角色和读Logstore RAM角色中输入AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何获取,请参见获取AliyunLogDefaultRole的ARN。
跨账号投递
如果日志服务Logstore和OSS Bucket不属于同一个阿里云账号,例如Logstore属于阿里云账号A,OSS Bucket属于账号B,则两个账号分别完成云资源访问授权(具体操作,请参见云资源访问授权)后,还需进行如下配置。
使用阿里云账号B登录RAM 控制台。
在左侧导航栏中,选择。
修改AliyunLogDefaultRole角色的信任策略。
在RAM角色列表中,单击AliyunLogDefaultRole。
在信任策略页签中,单击编辑信任策略。
将原有的信任策略替换为如下内容,然后单击保存信任策略。
在Service配置项中添加阿里云账号A的ID@log.aliyuncs.com,并根据实际情况替换该值。您可以在账号中心中查看阿里云账号ID。
该策略表示账号A有权限通过日志服务获取临时Token来操作账号B中的资源。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "账号A对应的阿里云账号ID@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }
授权完成后,OSS投递任务(新版)将使用账号A下的AliyunLogDefaultRole角色来读取源Logstore中的数据,使用账号B下的AliyunLogDefaultRole角色将数据投递到OSS Bucket中。即您在创建OSS投递任务(新版)时,需在写OSS RAM角色中输入账号B的AliyunLogDefaultRole角色的ARN(例如acs:ram::11****13:role/aliyunlogdefaultrole),在读Logstore RAM角色中输入账号A的AliyunLogDefaultRole角色的ARN(例如acs:ram::10****12:role/aliyunlogdefaultrole)。如何获取,请参见获取AliyunLogDefaultRole的ARN。
获取AliyunLogDefaultRole的ARN
登录RAM 控制台。
在左侧导航栏中,选择。
在RAM角色列表中,单击AliyunLogDefaultRole。
在基本信息区域,获取ARN。
请记录该信息,如果您在创建OSS投递任务时使用的是默认角色,则需要输入该信息。