本ドキュメントでは、Resource Access Management (RAM) ユーザーにアラートを管理する権限を付与する方法について説明します。

このタスクについて

次のいずれかの権限ポリシーを RAM ユーザーに追加することで、RAM ユーザーに権限を付与できます。
  • 簡易モード: Log Service 内のデータに対する完全なアクセス権限を RAM ユーザーに付与できます。 関連パラメーターを変更する必要はありません。
    • Alibaba Cloud アカウントで RAM コンソールへログインし、 AliyunLogFullAccess ポリシーを RAM ユーザーに追加します。 これで RAM ユーザーには Log Service 内のデータに対する完全なアクセス権限が付与されます。 詳細については、「RAM ユーザーに Log Service へのアクセスを許可」をご参照ください。
    • RAM ユーザーに、メトリクスストアまたはログストア内のデータのクエリを許可することができます。 これには、RAM ユーザーにビルトインロールまたはカスタムロールが付与されている必要があります。 このような場合、RAM ユーザーにロールの ram:PassRole 権限を付与する必要があります。 次のスクリプトは、アクセス権限ポリシーを示しています。
      {
           "Action": "ram:PassRole",
           "Effect": "Allow",
           "Resource": "acs:ram::Alibaba Cloud account: role /Role ARN"
       }
      ビルトインロールを作成する方法またはカスタムロールの権限付与をする方法の詳細については、「アクセス制御ポリシーの管理」をご参照ください。
  • カスタムモード: 権限ポリシーはカスタマイズ可能です。 これを使用して、RAM ユーザーに必要なアクセス権限のみを付与することができます。 このモードでは複雑な設定が必要であり、また、詳細なアクセス制御を提供します。

    このトピックでは、カスタムポリシーを使用して RAM ユーザーを承認する方法について説明します。

手順

  1. RAM コンソールにログインします。.
  2. ポリシーを作成します。
    1. 左側のナビゲーションウィンドウから、[権限] > [ポリシー] を選択します。
    2. [ポリシー] ページで [ポリシーの作成] をクリックします。
    3. [カスタムポリシーの作成] ページで、必要パラメーターを設定し、 [OK] をクリックします。 下表にパラメーターを示します。
      パラメーター 説明
      ポリシー名 ポリシーの名前です。
      設定モード [スクリプト] を選択します。
      ポリシードキュメント ポリシーの内容です。 エディターの内容を次のスクリプトに置き換えます。
      • Project name を実際のプロジェクト名に置き換えます。
      • sls-alert-* は、現在の Alibaba Cloud アカウント内のグローバルアラートセンターのプロジェクトです。 形式:sls-alert-${uid}-${region} 。プロジェクトには、すべてのアラート処理レポートが含まれています。
      { 
          "Version": "1", 
          "Statement": [
         {
              "Effect": "Allow",
           "Action": [
             "log:CreateLogStore",
             "log:CreateIndex",
             "log:UpdateIndex"
           ],
           "Resource": [
             "acs:log:*:*:project/Project name/logstore/internal-alert-history",
             "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
           ]   
           },
         {
           "Effect": "Allow",
           "Action": [
             "log:CreateDashboard",
             "log:CreateChart",
             "log:UpdateDashboard"
           ],
           "Resource": "acs:log:*:*:project/Project name/dashboard/*"
         },
         {
           "Effect": "Allow",
           "Action": [
             "log:*"
           ],
           "Resource": "acs:log:*:*:project/Project name/job/*"   
           },
         {
           "Effect": "Allow",
           "Action": [
             "log:CreateProject"
           ],
           "Resource": [
             "acs:log:*:*:project/sls-alert-*"
           ]
         },
         {
           "Action": "ram:PassRole",
           "Effect": "Allow",
           "Resource": "acs:ram::Alibaba Cloud account: role /Role ARN"
         }
       ]
      }
  3. RAM ユーザーを作成します。
    RAM ユーザーの作成方法については、「 RAM ユーザーに Log Service へのアクセスを許可」をご参照ください。
  4. RAM ユーザーに必要な権限を付与します。
    1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
    2. [ユーザー] ページで対象の RAM ユーザーを見つけて、[操作] 列で [権限の追加] をクリックします。
    3. [アクセス権限の追加] パネルで、[ポリシーの選択] セクションで [システムポリシー] をクリックし、 [AliyunRAMReadOnlyAccess] ポリシーを選択します。
    4. [ポリシーの選択] セクションでは、[カスタムポリシー] をクリックし、手順 2 で作成したポリシーを選択し、[OK] をクリックします。
    5. [完了] をクリックします。