日志服务数据加工中源与目标访问密钥配置
日志服务的数据加工功能,其运作机制其实并不复杂:首先从源LogStore拉取原始数据,经过一系列加工处理,最终将结果写入目标LogStore。整个过程类似于一条流水线,而起始和结束阶段都绕不开一个核心问题——即对LogStore的访问权限配置。
使用主账号AccessKey虽然最简便,只需勾选即可运行,无需额外配置。但从账号安全角度考量,这种做法风险较大,强烈推荐采用子账号进行细粒度授权。接下来我们将逐步解析,如何从零开始搭建这一权限体系。
首先,请登录RAM控制台,开始创建子账号并授权。
创建读取源LogStore的子账号
由源Project所属的主账号执行操作:

创建完成后,务必妥善保存子账号的AccessKey ID和Secret,后续配置中会用到。

设置源LogStore的读取权限
同样由源Project所属的主账号操作:

具体的授权策略如何配置?下面列举两个典型场景。
场景一:精确授权
假设源Project名为log-project-prod,LogStore名为access_log,则策略可编写如下:
{
"Version": "1",
"Statement": [
{
"Action": [
"log:ListShards",
"log:GetCursorOrData",
"log:GetConsumerGroupCheckPoint",
"log:UpdateConsumerGroup",
"log:ConsumerGroupHeartBeat",
"log:ConsumerGroupUpdateCheckPoint",
"log:ListConsumerGroup",
"log:CreateConsumerGroup"
],
"Resource": [
"acs:log:*:*:project/log-project-prod/logstore/access_log",
"acs:log:*:*:project/log-project-prod/logstore/access_log/*"
],
"Effect": "Allow"
}
]
}
场景二:模糊匹配授权
如果存在多套开发环境,例如log-project-dev-a、log-project-dev-b、log-project-dev-c,对应的LogStore分别为app_a_log、app_b_log、app_c_log,且命名有规律,则可使用通配符:
{
"Version": "1",
"Statement": [
{
"Action": [
"log:ListShards",
"log:GetCursorOrData",
"log:GetConsumerGroupCheckPoint",
"log:UpdateConsumerGroup",
"log:ConsumerGroupHeartBeat",
"log:ConsumerGroupUpdateCheckPoint",
"log:ListConsumerGroup",
"log:CreateConsumerGroup"
],
"Resource": [
"acs:log:*:*:project/log-project-dev-*/logstore/app_*_log",
"acs:log:*:*:project/log-project-dev-*/logstore/app_*_log/*"
],
"Effect": "Allow"
}
]
}
更多授权场景可参考官方文档。
将源读取权限绑定到子账号
由源Project所属的主账号操作:


创建写入目标LogStore的子账号
由目标Project所属的主账号操作,步骤与创建读取子账号完全相同。创建完成后同样需保存AccessKey ID/Secret。
配置目标LogStore的写入权限
由目标Project所属的主账号操作,方式与前面的读取权限配置类似,但操作列表不同。
场景一:精确授权
假设目标Project为log-project-prod,LogStore为access_log_output,策略内容如下:
{
"Version": "1",
"Statement": [
{
"Action": ["log:Post*"],
"Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
"Effect": "Allow"
}
]
}
场景二:模糊匹配授权
同样针对多套开发环境,目标Project为log-project-dev-a等,LogStore为app_a_log_output等,策略可使用通配符:
{
"Version": "1",
"Statement": [
{
"Action": ["log:Post*"],
"Resource": "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log_output",
"Effect": "Allow"
}
]
}
更多授权场景请参考官方文档。
将目标写入权限绑定到写入子账号
由目标Project所属的主账号操作,方式同步骤4。
在数据加工任务中使用子账号AccessKey

最后一步,由源Project所属账号登录日志服务控制台,在数据加工任务的配置界面中,将之前创建的读取子账号AccessKey ID/Secret填入上方输入框,写入子账号的填入下方输入框,配置完成。
进一步参考
日志服务最佳实践汇总(持续更新)
完整DSL语法介绍与参考PDF下载(持续更新)
数据加工指南
介绍:
- 功能概述
- 概念原理
快速开始:
- 快速开始(SLB日志加工实战)
- 控制台操作
- 源与目标访问秘钥配置
- 作业诊断指南
- 性能指南
- 成本优化指南
语法:
- DSL语法介绍
- 查询字符串语法
- JMES语法介绍
管理配置:
- 子账号授权配置
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
Stable Diffusion WebUI本地模型下载配置与性能优化指南
StableDiffusionWebUI适合在个人电脑上运行本地绘图模型,关键在于准备显卡环境、正确下载模型、放入对应目录,并通过分辨率、采样器、显存参数等设置提升生成效率与稳定性。
Stable Diffusion WebUI插件安装配置教程:浏览器、编辑器或扩展市场
StableDiffusionWebUI插件可增强模型管理、提示词、图像处理与工作流效率。安装前需确认版本、环境和来源,按内置扩展页、网址安装或本地导入完成配置,并做好备份与兼容性检查。
Stable Diffusion WebUI Docker一键部署:镜像拉取端口映射数据目录配置
使用Docker部署StableDiffusionWebUI可降低环境配置难度,重点在于选择镜像、映射7860端口、挂载模型与输出目录,并提前确认显卡驱动、存储空间和访问权限。
Stable Diffusion WebUI API Key 获取与配置教程:账号注册与国内网络设置
围绕StableDiffusionWebUI的APIKey配置,说明账号注册、密钥获取、本地接口认证、国内网络访问设置、验证方法与安全注意事项,适合AI绘画工具初次部署和团队接入使用。
Stable Diffusion WebUI Linux服务器部署完整教程:从环境准备到后台运行
StableDiffusionWebUI在Linux服务器部署需先确认GPU、驱动、Python与依赖环境,再拉取项目、配置模型和启动参数。后台运行建议使用tmux、nohup或systemd,并做好访问鉴权、端口限制、资源监控与模型来源校验。
- 日榜
- 周榜
- 月榜
1
2
3
4
5
6
7
8
9
10
相关攻略
2026-07-04 06:48
2026-07-04 06:48
2026-07-04 06:48
2026-07-04 06:48
2026-07-04 06:48
2026-07-04 06:47
2026-07-04 06:47
2026-07-04 06:47
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
热门话题

