关于云服务:企业上云如何对SLS日志审计服务进行权限控制

简介：日志审计是信息安全审计性能的外围局部，是企业信息系统平安危险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品（Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等）提供了一站式的日志收集、存储、查问、可视化和告警能力，可用于撑持平安剖析、合规审计等常见利用场景。

一、背景

日志审计简介
日志审计是信息安全审计性能的外围局部，是企业信息系统平安危险管控的重要组成部分。SLS的日志审计服务针对阿里云的多种云产品（Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等）提供了一站式的日志收集、存储、查问、可视化和告警能力，可用于撑持平安剖析、合规审计等常见利用场景。

日志审计的特点：
• 中心化采集
• 跨账号：反对将多个主账号下的日志采集到一个主账号下的Project中。
• 一键式采集：一次性配置采集策略后，即可实现跨账号主动实时发现新资源（例如新创建的RDS、SLB、OSS Bucket实例等）并实时采集日志。
• 中心化存储：将采集到的日志存储到某个地区的中心化Project中，不便后续查问剖析、可视化与告警、二次开发等。
• 反对丰盛的审计性能
• 继承日志服务现有的所有性能，包含查问剖析、加工、报表、告警、导出等性能，反对审计场景下中心化的审计等需要。
• 生态凋谢对接：与开源软件、阿里云大数据产品、第三方SOC软件无缝对接，充分发挥数据价值。

日志审计服务提供了对立的治理界面，便于用户可能便捷地进行云产品日志的采集配置。该页面提供了对于多种云产品审计日志采集开关、存储形式（区域化/中心化）、TTL、是否开启威逼情报检测等性能。

企业上云后面临的权限问题

家喻户晓，主账号领有该账号下所有资源的所有权，能够对该账号下对所有资源进行配置批改。企业上云后，特地是一个公司多个部门或者多个业务线进行开发的场景，如果都应用主账号操作，危险是十分高的。而RAM则为企业解决上述问题，提供了一套简略的统一分配权限、集中管控资源的平安资源管制体系。

企业上云后，面临的一些常见的权限管控问题：

• 存在多用户协同操作，RAM用户分工不同，各司其职。
• 云账号不想与其余RAM用户共享云账号密钥，密钥泄露危险较大。
• RAM用户对资源的拜访形式多种多样，资源泄露危险高。
• 某些RAM用户来到组织时，须要发出其对资源的拜访权限。

企业上云后，能够通过创立、治理RAM用户，并管制这些RAM用户对资源的操作权限（权限最小分配原则），从而达到权限管制的目标。而日志审计服务作为云上日志平安审计的控制中心，是云上日志合规的配置入口，安全性至关重要。同样的，咱们也能够正当的利用RAM达到权限管制目标。

二、日志审计最佳实际

为了利用RAM对日志审计服务进行权限管制，首先须要明确日志审计场景下波及的资源：
• 日志审计APP，https://sls.console.aliyun.co...
• 存储审计日志的Project下的资源，包含了Project、Logstore、索引、报表、数据加工工作等。Project分为两类：
• 核心Project：slsaudit-center-${uid}-${region}
• 区域Project：slsaudit-region-${uid}-${region}
权限管制波及的账号类型及权限，按权限从大到小程序：
• 主账号：
• 权限：人造领有对APP、Proejct资源所有管制权限。
• 应用场景：不倡议间接应用。
• 领有日志审计写权限的子账号（首次开明）：
• 权限：
• 零碎权限策略：AliyunRAMFullAccess/AliyunSTSAssumeRoleAccess，用于主动创立审计须要的内置角色sls-audit-service-dispatch、sls-audit-service-monitor。
• 自定义日志审计写最小权限：须要领有日志审计APP的查看、配置权限，能够查看日志审计project下的数据。
• 应用场景：能够对日志审计进行首次开明及后续配置变更。
• 领有日志审计写权限的子账号（非首次开明）：
• 权限：
• 零碎权限策略：AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
• 自定义日志审计写最小权限：须要领有日志审计APP的查看、配置权限，能够查看日志审计project下的数据。
• 应用场景：日志审计开明后，能够对日志审计进行相干的配置变更。
• 领有日志审计只读权限的子账号：
• 权限：
• 零碎权限策略：AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
• 自定义日志审计只读最小权限：须要领有日志审计APP的查看权限，能够查看日志审计project下的数据。
• 应用场景：实用于个别权限的开发者。仅可查看日志审计配置，及Project中的数据。

三、RAM子账号日志审计操作的最小权限

1、自定义日志审计写最小权限

{    "Version": "1",    "Statement": [        {            "Effect": "Allow",            "Action": [                "log:GetApp",                "log:CreateApp"            ],            "Resource": [                "acs:log:*:*:app/audit"            ]        },        {            "Effect": "Allow",            "Action": [                "log:Get*",                "log:List*",                "log:CreateJob",                "log:UpdateJob",                "log:CreateProject"            ],            "Resource": [                "acs:log:*:*:project/slsaudit-*"            ]        }    ]}

2、自定义日志审计只读最小权限
绝对于“自定义日志审计写最小权限”，去掉了"log:CreateApp" "log:CreateJob" "log:UpdateJob" "log:CreateProject"等权限。

{    "Version": "1",    "Statement": [        {            "Effect": "Allow",            "Action": [                "log:GetApp"            ],            "Resource": [                "acs:log:*:*:app/audit"            ]        },        {            "Effect": "Allow",            "Action": [                "log:Get*",                "log:List*"            ],            "Resource": [                "acs:log:*:*:project/slsaudit-*"            ]        }    ]}

四、操作步骤

1、创立第三局部中提到的权限

例如创立名为audit_test的权限策略。
2、依照第二局部的权限列表，对子账号进行受权

3、登陆子账号进行审计操作

五、通过权限否定管制

本文第三局部提到的“RAM子账号日志审计操作的最小权限”，次要是正向登程，尽可能地限度子账号权限。然而某些场景下，子账号心愿领有SLS较大的权限，然而须要把日志审计APP配置权限排除在外，这时候就须要应用RAM的权限否定性能。具体的权限配置如下：

{  "Version": "1",  "Statement": [    {      "Effect": "Deny",      "Action": [        "log:CreateApp"      ],      "Resource": [        "acs:log:*:*:app/audit"      ]    },    {      "Effect": "Deny",      "Action": [        "log:CreateJob",        "log:UpdateJob",        "log:CreateProject"      ],      "Resource": [        "acs:log:*:*:project/slsaudit-*"      ]    }  ]}

例如，授予了子账号AliyunLogFullAccess权限，子账号会领有全副的SLS权限。然而想发出审计APP配置权限时，能够增加自定义否定策略。

原文链接

本文为阿里云原创内容，未经容许不得转载。