サービスロール AliyunServiceRoleForActionTrail は、ActionTrail が他の Alibaba Cloud サービスにアクセスするために引き受ける Resource Access Management (RAM) ロールです。このトピックでは、サービスロールのシナリオ、ロールの権限、およびロールの作成と削除の方法について説明します。
シナリオ
AliyunServiceRoleForActionTrail ロールは、以下のシナリオに適用されます。
Simple Log Service へのアクセス
トレイルを作成し、イベントを格納する Simple Log Service プロジェクトを指定すると、ActionTrail は AliyunServiceRoleForActionTrail ロールを引き受けて、指定されたプロジェクトにログストアを作成し、ログストアにイベントを書き込む権限を取得します。
Object Storage Service (OSS) へのアクセス
トレイルを作成し、イベントを格納する OSS バケットを指定すると、ActionTrail は AliyunServiceRoleForActionTrail ロールを引き受けて、指定された OSS バケットにイベントを書き込む権限を取得します。
Simple Message Queue (旧称 MNS) へのアクセス
トレイルを作成し、イベントを格納する OSS バケットを指定し、イベント配信のメッセージを受信する Simple Message Queue Topic も指定すると、ActionTrail は AliyunServiceRoleForActionTrail ロールを引き受けて、Simple Message Queue Topic にメッセージを送信する権限を取得します。
リソースディレクトリへのアクセス
マルチアカウントトレイルを作成して、リソースディレクトリ内のすべてのメンバーのイベントを指定されたストレージオブジェクトに配信する場合、ActionTrail は AliyunServiceRoleForActionTrail ロールを引き受けて、リソースディレクトリにアクセスし、リソースディレクトリ内のメンバーを取得する権限を取得します。
詳細については、「サービスロール」をご参照ください。
権限
ロール: AliyunServiceRoleForActionTrail
ポリシー: AliyunServiceRolePolicyForActionTrail
サービスロールが ActionTrail に割り当てられると、ActionTrail は OSS、Simple Log Service、Simple Message Queue (旧称 MNS)、リソースディレクトリなどの他の Alibaba Cloud サービスのリソースにアクセスする権限が付与されます。
{
"Version": "1",
"Statement": [
{
"Action": [
"oss:ListObjects",
"oss:PutObject",
"oss:GetBucketInfo",
"oss:GetBucketLifecycle",
"oss:GetBucketLocation",
"kms:ListKeys",
"kms:Listalias",
"kms:ListAliasesByKeyId",
"kms:DescribeKey",
"kms:GenerateDataKey",
"kms:Decrypt"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:GetProject",
"log:ListJobs"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"log:PostLogStoreLogs",
"log:CreateLogstore",
"log:GetLogstore",
"log:CreateIndex",
"log:UpdateIndex",
"log:GetIndex",
"log:GetLogStoreLogs"
],
"Resource": [
"acs:log:*:*:project/*/logstore/actiontrail_*",
"acs:log:*:*:project/*/logstore/innertrail_*",
"acs:log:*:*:project/*/logstore/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"log:CreateDashboard",
"log:UpdateDashboard"
],
"Resource": "acs:log:*:*:project/*/dashboard/*",
"Effect": "Allow"
},
{
"Action": [
"log:CreateSavedSearch",
"log:UpdateSavedSearch"
],
"Resource": [
"acs:log:*:*:project/*/savedsearch/actiontrail_*",
"acs:log:*:*:project/*/savedsearch/innertrail_*",
"acs:log:*:*:project/*/savedsearch/insights_*"
],
"Effect": "Allow"
},
{
"Action": [
"mns:PublishMessage"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"resourcemanager:GetResourceDirectory",
"resourcemanager:ListAccounts",
"resourcemanager:GetResourceDirectoryAccount"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": [
"cms:DescribeMetricList",
"cms:QueryMetricList"
],
"Resource": "*",
"Effect": "Allow"
},
{
"Action": "ram:DeleteServiceLinkedRole",
"Resource": "*",
"Effect": "Allow",
"Condition": {
"StringEquals": {
"ram:ServiceName": "actiontrail.aliyuncs.com"
}
}
},
{
"Effect": "Allow",
"Action": "odps:updateUsersToAdmin",
"Resource": "acs:odps:*:*:projects/actiontrail_*"
}
]
}AliyunServiceRoleForActionTrail ロールの作成
初めて以下の操作のいずれかを実行するときに、AliyunServiceRoleForActionTrail ロールが存在しない場合、ActionTrail は自動的にこのロールを作成します。
CreateTrail 操作を呼び出してトレイルを作成する。
ActionTrail コンソールでトレイルを作成する。
AliyunServiceRoleForActionTrail ロールの削除
AliyunServiceRoleForActionTrail ロールを削除する前に、ActionTrail コンソール内のすべてのトレイルを削除する必要があります。詳細については、「シングルアカウントトレイルの削除」および「マルチアカウントトレイルの削除」をご参照ください。
RAM コンソールで AliyunServiceRoleForActionTrail ロールを削除できます。詳細については、「RAM ロールの削除」をご参照ください。