すべてのプロダクト
Search

このプロダクト

    Application Real-Time Monitoring Service:アラート管理システムのカスタム RAM 権限付与ポリシー

    ドキュメントセンター

    Application Real-Time Monitoring Service:アラート管理システムのカスタム RAM 権限付与ポリシー

    最終更新日:Mar 11, 2026

    Application Real-Time Monitoring Service (ARMS) は、`AliyunARMSFullAccess` や `AliyunARMSReadOnlyAccess` などのシステムポリシーを提供しますが、これらのポリシーは粒度が粗いです。これらのポリシーは、すべての ARMS 機能へのアクセスを許可するか、まったく許可しないかのいずれかです。RAM ユーザーにアプリケーション監視ではなくアラート管理を許可するなど、機能レベルでアクセスを制御するには、カスタムポリシーを作成し、その RAM ユーザーにアタッチします。

    前提条件

    開始する前に、以下を確認してください。

    • Resource Access Management (RAM) のポリシー要素 (`Action`、`Effect`、`Resource` を含む) に関する基本的な知識があること。

    • ユーザーが Application Real-Time Monitoring Service (ARMS) コンソールにログインできるように、`ReadOnlyAccess` または `AliyunARMSReadOnlyAccess` システムポリシーが RAM ユーザーにアタッチされていること。

      重要

      特定のリソースグループに対してすべての ARMS 機能の読み取り専用権限を付与するには、`AliyunARMSReadOnlyAccess` ポリシーをアタッチし、`ReadTraceApp` 権限をそのリソースグループに付与する必要があります。そうしないと、ARMS は認証されたリソースグループに属するアプリケーションリストを表示できません。

    • `AliyunARMSFullAccess` システムポリシーが RAM ユーザーにアタッチされていないこと。

    ステップ 1:カスタムポリシーの作成

    1. 管理権限を持つ RAM ユーザーとして RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

    3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

      image

    4. [ポリシーの作成] ページで、[JSON] タブをクリックし、エディターにポリシーを入力します。

      次の例では、すべてのアラート管理機能への読み取りおよび書き込みアクセスを許可します。

      {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "arms:Describe*",
                "arms:List*",
                "arms:Get*",
                "arms:Search*",
                "arms:Check*",
                "arms:Query*",
                "arms:*Alert*",
                "arms:*Contact*",
                "arms:*Webhook*",
                "arms:*PrometheusRule*",
                "arms:*Alarm*",
                "arms:*Incident*",
                "arms:*DispatchRule*",
                "arms:*NotificationPolicy*",
                "arms:*EventBridgeIntegration*",
                "arms:*PrometheusAlertTemplate*",
                "arms:*IncidentWorkFlow*",
                "arms:*EscalationPolicy*",
                "arms:UpdateAlertCommercialConfig",
                "arms:*OnCallSchedule",
                "arms:UpdateIntegration",
                "arms:ListIntegration"
            ],
            "Resource": "*",
            "Effect": "Allow"
        }
    ]
}

      各アクションの詳細については、「アラート管理のアクション」をご参照ください。

    5. 上部にある [最適化] をクリックします。[最適化] メッセージで、[実行] をクリックしてポリシーを最適化します。

      システムは、高度な最適化中に次の操作を実行します。

      • アクションと互換性のないリソースまたは条件を分割します。

      • リソースを絞り込みます。

      • ポリシーステートメントを重複排除またはマージします。

    6. [ポリシーの作成] ページで、[OK] をクリックします。

    7. [ポリシーの作成] ダイアログボックスで、[ポリシー名][説明] パラメーターを設定し、[OK] をクリックします。

    ステップ 2:RAM ユーザーへのカスタムポリシーのアタッチ

    1. RAM 管理者として RAM コンソールにログインします。

    2. 左側のナビゲーションウィンドウで、[アイデンティティ] > [ユーザー] を選択します

    3. [ユーザー] ページで、目的の RAM ユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

      image

      複数の RAM ユーザーを選択し、ページ下部の [権限の追加] をクリックして、一度に複数の RAM ユーザーに権限を付与することもできます。

    4. [権限の付与] パネルで、RAM ユーザーに権限を付与します。

      1. [リソース範囲] パラメーターを設定します。

      2. プリンシパルパラメーターを設定します。

        プリンシパルは、権限を付与する RAM ユーザーです。現在の RAM ユーザーが自動的に選択されます。

      3. ポリシーパラメーターを設定します。

        ポリシーには一連の権限が含まれています。ポリシーは、システムポリシーとカスタムポリシーに分類できます。一度に複数のポリシーを選択できます。

        • システムポリシー:Alibaba Cloud によって作成されたポリシーです。これらのポリシーは使用できますが、変更はできません。ポリシーのバージョン更新は Alibaba Cloud によって維持されます。詳細については、「RAM と連携するサービス」をご参照ください。

          説明

          システムは、`AdministratorAccess` や `AliyunRAMFullAccess` などの高リスクなシステムポリシーを自動的に識別します。高リスクなポリシーをアタッチして不要な権限を付与しないことを推奨します。

        • カスタムポリシー:ビジネス要件に基づいてカスタムポリシーを管理および更新できます。カスタムポリシーの作成、更新、削除が可能です。詳細については、「カスタムポリシーの作成」をご参照ください。

      4. [OK] をクリックします。

    5. [閉じる] をクリックします。

    アラート管理のアクション

    次の表は、アラート管理で利用可能なアクションを機能エリア別にグループ化したものです。これらのアクションをカスタムポリシーの `Action` 要素で使用します。

    アラートとルール

    アクション説明アクセスレベル
    arms:*Alert*すべてのアラート操作読み取り/書き込み
    arms:*Alarm*レガシーのアラート管理システムでのアラート操作読み取り/書き込み
    arms:*DispatchRule*レガシーのアラート管理システムでのディスパッチルール読み取り/書き込み
    arms:*Incident*アラートイベント読み取り/書き込み
    arms:*IncidentWorkFlow*インシデントワークフロー読み取り/書き込み

    通知とエスカレーション

    アクション説明アクセスレベル
    arms:*Contact*連絡先と連絡先グループ読み取り/書き込み
    arms:*Webhook*Webhook読み取り/書き込み
    arms:*NotificationPolicy*通知ポリシー読み取り/書き込み
    arms:*EscalationPolicy*エスカレーションポリシー読み取り/書き込み
    arms:*OnCallScheduleオンコールスケジュール読み取り/書き込み

    Prometheus 統合

    アクション説明アクセスレベル
    arms:*PrometheusRule*Managed Service for Prometheus のアラートルール読み取り/書き込み
    arms:*PrometheusAlertTemplate*Managed Service for Prometheus のアラートルールテンプレート読み取り/書き込み

    統合と設定

    アクション説明アクセスレベル
    arms:*EventBridgeIntegration*EventBridge 統合読み取り/書き込み
    arms:UpdateIntegration統合の更新書き込み
    arms:ListIntegration統合のリスト表示読み取り
    arms:UpdateAlertCommercialConfigアラートの国際化設定の更新書き込み

    ポリシー要素

    各 RAM ポリシーは、次の要素で構成されています。

    要素説明
    Effectステートメントがアクセスを許可するか拒否するかを指定します。有効な値:`Allow`、`Deny`。
    Actionポリシーが対象とする API オペレーション。ワイルドカード (`*`) をサポートします。
    Resourceポリシーが適用されるリソース。すべてのリソースに対して `*` を使用します。

    完全な構文リファレンスについては、「ポリシー要素」をご参照ください。