すべてのプロダクト
Search

このプロダクト

    ActionTrail:イベント配信の権限ポリシーを管理する

    ドキュメントセンター

    ActionTrail:イベント配信の権限ポリシーを管理する

    最終更新日:Jan 17, 2025

    AliyunActionTrailDeliveryPolicy 権限ポリシーは、イベント配信に関連する権限を付与するために使用されます。このトピックでは、権限ポリシーが使用されるシナリオとポリシーの権限について説明します。

    シナリオ

    • Log Service へのアクセス

      トレイルを作成し、イベントを格納する Log Service プロジェクトを指定する場合、ActionTrail は指定されたプロジェクトにログストアを作成し、イベントをログストアに書き込む必要があります。この場合、ActionTrail は Log Service にアクセスするための権限を取得する必要があります。

    • Object Storage Service (OSS) へのアクセス

      トレイルを作成し、イベントを格納する OSS バケットを指定する場合、ActionTrail は指定された OSS バケットにイベントを書き込む必要があります。この場合、ActionTrail は OSS にアクセスするための権限を取得する必要があります。

    • MaxCompute へのアクセス

      トレイルを作成し、イベントを格納する MaxCompute プロジェクトを指定する場合、ActionTrail は指定されたプロジェクトにイベントを書き込む必要があります。この場合、ActionTrail は MaxCompute にアクセスするための権限を取得する必要があります。

    ポリシーの説明

    ポリシー名: AliyunActionTrailDeliveryPolicy

    ポリシーの内容:

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject",
                "oss:GetBucketInfo",
                "oss:GetBucketLifecycle",
                "oss:GetBucketLocation",
                "kms:ListKeys",
                "kms:Listalias",
                "kms:ListAliasesByKeyId",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:GetProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex",
                "log:GetLogStoreLogs"
            ],
            "Resource": [
                "acs:log:*:*:project/*/logstore/actiontrail_*",
                "acs:log:*:*:project/*/logstore/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource": "acs:log:*:*:project/*/dashboard/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch"
            ],
            "Resource": [
                "acs:log:*:*:project/*/savedsearch/actiontrail_*",
                "acs:log:*:*:project/*/savedsearch/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": "odps:updateUsersToAdmin",
            "Resource": "acs:odps:*:*:projects/actiontrail_*"
        }
    ]
}

    ポリシーの説明: この権限ポリシーにより、ActionTrail は Log Service と OSS のリソースにアクセスできます。次の表は、権限ポリシーで許可される操作を示しています。

    操作

    説明

    oss:GetBucketLocation

    OSS バケットのリージョンを照会します。

    oss:PutObject

    指定された OSS バケットにイベントログを書き込みます。

    oss:GetBucketInfo

    OSS バケットに関する情報を照会します。

    oss:GetBucketLifecycle

    OSS バケットのライフサイクルを照会します。

    kms:ListKeys

    キーのリストを照会します。

    kms:Listalias

    エイリアスのリストを照会します。

    kms:ListAliasesByKeyId

    指定されたキーにバインドされているエイリアスを照会します。

    kms:DescribeKey

    キーの詳細を照会します。

    kms:GenerateDataKey

    データキーを生成します。

    kms:Decrypt

    暗号文をプレーンテキストに復号化します。

    log:GetProject

    Log Service プロジェクトが存在するかどうかを照会します。

    log:PostLogStoreLogs

    指定された Log Service ログストアにイベントを書き込みます。

    log:GetLogstore

    Log Service ログストアが存在するかどうかを照会します。

    log:CreateLogstore

    ログストアを作成します。

    log:CreateIndex

    インデックスを作成します。

    log:UpdateIndex

    インデックスを更新します。

    log:GetIndex

    インデックスを照会します。

    log:GetLogStoreLogs

    ログストアに格納されているログを照会します。

    log:CreateDashboard

    ダッシュボードを作成します。

    log:UpdateDashboard

    ダッシュボードを更新します。

    log:CreateSavedSearch

    クイック検索を作成します。

    log:UpdateSavedSearch

    クイック検索を更新します。

    odps:updateUsersToAdmin

    プロジェクトロールメンバーを更新します。