簡介： 日志審計(jì)是信息安全審計(jì)功能的核心部分，是企業(yè)信息系統(tǒng)安全風(fēng)險管控的重要組成部分。SLS的日志審計(jì)服務(wù)針對阿里云的多種云產(chǎn)品（Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等）提供了一站式的日志收集、存儲、查詢、可視化和告警能力，可用于支撐安全分析、合規(guī)審計(jì)等常見應(yīng)用場景。

一、背景

日志審計(jì)簡介

日志審計(jì)是信息安全審計(jì)功能的核心部分，是企業(yè)信息系統(tǒng)安全風(fēng)險管控的重要組成部分。SLS的日志審計(jì)服務(wù)針對阿里云的多種云產(chǎn)品（Actiontrail、OSS、SLB、RDS、PolarDB、SAS、WAF等）提供了一站式的日志收集、存儲、查詢、可視化和告警能力，可用于支撐安全分析、合規(guī)審計(jì)等常見應(yīng)用場景。

?

日志審計(jì)的特點(diǎn)：

• 中心化采集

• • 跨賬號：支持將多個主賬號下的日志采集到一個主賬號下的Project中。
  • 一鍵式采集：一次性配置采集策略后，即可完成跨賬號自動實(shí)時發(fā)現(xiàn)新資源（例如新創(chuàng)建的RDS、SLB、OSS Bucket實(shí)例等）并實(shí)時采集日志。
  • 中心化存儲：將采集到的日志存儲到某個地域的中心化Project中，方便后續(xù)查詢分析、可視化與告警、二次開發(fā)等。

• 支持豐富的審計(jì)功能

• • 繼承日志服務(wù)現(xiàn)有的所有功能，包括查詢分析、加工、報表、告警、導(dǎo)出等功能，支持審計(jì)場景下中心化的審計(jì)等需求。
  • 生態(tài)開放對接：與開源軟件、阿里云大數(shù)據(jù)產(chǎn)品、第三方SOC軟件無縫對接，充分發(fā)揮數(shù)據(jù)價值。

?

日志審計(jì)服務(wù)提供了統(tǒng)一的管理界面，便于用戶能夠便捷地進(jìn)行云產(chǎn)品日志的采集配置。該頁面提供了對于多種云產(chǎn)品審計(jì)日志采集開關(guān)、存儲方式（區(qū)域化/中心化）、TTL、是否開啟威脅情報檢測等功能。

?

企業(yè)上云后面臨的權(quán)限問題

眾所周知，主賬號擁有該賬號下所有資源的所有權(quán)，可以對該賬號下對所有資源進(jìn)行配置修改。企業(yè)上云后，特別是一個公司多個部門或者多個業(yè)務(wù)線進(jìn)行開發(fā)的場景，如果都使用主賬號操作，風(fēng)險是非常高的。而RAM則為企業(yè)解決上述問題，提供了一套簡單的統(tǒng)一分配權(quán)限、集中管控資源的安全資源控制體系。

企業(yè)上云后，面臨的一些常見的權(quán)限管控問題：

• 存在多用戶協(xié)同操作，RAM用戶分工不同，各司其職。
• 云賬號不想與其他RAM用戶共享云賬號密鑰，密鑰泄露風(fēng)險較大。
• RAM用戶對資源的訪問方式多種多樣，資源泄露風(fēng)險高。
• 某些RAM用戶離開組織時，需要收回其對資源的訪問權(quán)限。

?

企業(yè)上云后，可以通過創(chuàng)建、管理RAM用戶，并控制這些RAM用戶對資源的操作權(quán)限（權(quán)限最小分配原則），從而達(dá)到權(quán)限控制的目的。而日志審計(jì)服務(wù)作為云上日志安全審計(jì)的控制中心，是云上日志合規(guī)的配置入口，安全性至關(guān)重要。同樣的，我們也可以合理的利用RAM達(dá)到權(quán)限控制目的。

二、日志審計(jì)最佳實(shí)踐

為了利用RAM對日志審計(jì)服務(wù)進(jìn)行權(quán)限控制，首先需要明確日志審計(jì)場景下涉及的資源：

• 日志審計(jì)APP，https://sls.console.aliyun.com/lognext/app/audit/audit_global_config可以查看。
• 存儲審計(jì)日志的Project下的資源，包括了Project、Logstore、索引、報表、數(shù)據(jù)加工任務(wù)等。Project分為兩類：

• • 中心Project：slsaudit-center-${uid}-${region}
  • 區(qū)域Project：slsaudit-region-${uid}-${region}

?

權(quán)限控制涉及的賬號類型及權(quán)限，按權(quán)限從大到小順序：

• 主賬號：

• • 權(quán)限：天然擁有對APP、Proejct資源所有控制權(quán)限。
  • 使用場景：不建議直接使用。

• 擁有日志審計(jì)寫權(quán)限的子賬號（首次開通）：

• • 權(quán)限：

• • • 系統(tǒng)權(quán)限策略：AliyunRAMFullAccess/AliyunSTSAssumeRoleAccess，用于自動創(chuàng)建審計(jì)需要的內(nèi)置角色sls-audit-service-dispatch、sls-audit-service-monitor。
    • 自定義日志審計(jì)寫最小權(quán)限：需要擁有日志審計(jì)APP的查看、配置權(quán)限，可以查看日志審計(jì)project下的數(shù)據(jù)。

• • 使用場景：可以對日志審計(jì)進(jìn)行首次開通及后續(xù)配置變更。

• 擁有日志審計(jì)寫權(quán)限的子賬號（非首次開通）：

• • 權(quán)限：

• • • 系統(tǒng)權(quán)限策略：AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
    • 自定義日志審計(jì)寫最小權(quán)限：需要擁有日志審計(jì)APP的查看、配置權(quán)限，可以查看日志審計(jì)project下的數(shù)據(jù)。

• • 使用場景：日志審計(jì)開通后，可以對日志審計(jì)進(jìn)行相關(guān)的配置變更。

• 擁有日志審計(jì)只讀權(quán)限的子賬號：

• • 權(quán)限：

• • • 系統(tǒng)權(quán)限策略：AliyunRAMReadOnlyAccess/AliyunSTSAssumeRoleAccess。
    • 自定義日志審計(jì)只讀最小權(quán)限：需要擁有日志審計(jì)APP的查看權(quán)限，可以查看日志審計(jì)project下的數(shù)據(jù)。

• • 使用場景：適用于一般權(quán)限的開發(fā)者。僅可查看日志審計(jì)配置，及Project中的數(shù)據(jù)。

三、RAM子賬號日志審計(jì)操作的最小權(quán)限

1、自定義日志審計(jì)寫最小權(quán)限

{"Version": "1","Statement": [{"Effect": "Allow","Action": ["log:GetApp","log:CreateApp"],"Resource": ["acs:log:*:*:app/audit"]},{"Effect": "Allow","Action": ["log:Get*","log:List*","log:CreateJob","log:UpdateJob","log:CreateProject"],"Resource": ["acs:log:*:*:project/slsaudit-*"]}] }

2、自定義日志審計(jì)只讀最小權(quán)限

相對于“自定義日志審計(jì)寫最小權(quán)限”，去掉了"log:CreateApp" "log:CreateJob" "log:UpdateJob" "log:CreateProject"等權(quán)限。

{"Version": "1","Statement": [{"Effect": "Allow","Action": ["log:GetApp"],"Resource": ["acs:log:*:*:app/audit"]},{"Effect": "Allow","Action": ["log:Get*","log:List*"],"Resource": ["acs:log:*:*:project/slsaudit-*"]}] }

四、操作步驟

1、創(chuàng)建第三部分中提到的權(quán)限

例如創(chuàng)建名為audit_test的權(quán)限策略。

?

2、按照第二部分的權(quán)限列表，對子賬號進(jìn)行授權(quán)

?

3、登陸子賬號進(jìn)行審計(jì)操作

五、通過權(quán)限否定控制

本文第三部分提到的“RAM子賬號日志審計(jì)操作的最小權(quán)限”，主要是正向出發(fā)，盡可能地限制子賬號權(quán)限。但是某些場景下，子賬號希望擁有SLS較大的權(quán)限，但是需要把日志審計(jì)APP配置權(quán)限排除在外，這時候就需要使用RAM的權(quán)限否定功能。詳細(xì)的權(quán)限配置如下：

{"Version": "1","Statement": [{"Effect": "Deny","Action": ["log:CreateApp"],"Resource": ["acs:log:*:*:app/audit"]},{"Effect": "Deny","Action": ["log:CreateJob","log:UpdateJob","log:CreateProject"],"Resource": ["acs:log:*:*:project/slsaudit-*"]}] }

例如，授予了子賬號AliyunLogFullAccess權(quán)限，子賬號會擁有全部的SLS權(quán)限。但是想收回審計(jì)APP配置權(quán)限時，可以添加自定義否定策略。

原文鏈接

本文為阿里云原創(chuàng)內(nèi)容，未經(jīng)允許不得轉(zhuǎn)載。

?

總結(jié)

以上是生活随笔為你收集整理的企业上云如何对SLS日志审计服务进行权限控制的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。