複数の Alibaba Cloud アカウントに属するさまざまなプロジェクトやリージョンからのデータをモニタリングするには、必要な権限を取得する必要があります。 たとえば、関連する ログストアとメトリクスストアからの読み取り権限を取得する必要があります。 本ドキュメントでは、関連するアクセス制御権限を付与する方法について説明します。

権限付与方法

Log Service では、ログストアとメトリクスストアのアクセス権限を取得するために、デフォルトロール、ビルトインロール、カスタムロールが利用できます。

権限付与方法 シナリオ
デフォルト モニタリングルールが存在する同じプロジェクトのすべてのログストアとメトリクスストアからのデータをモニタリングします。
ビルトインロール Alibaba Cloud アカウントに属する複数のプロジェクトのログストアとメトリクスストアからのデータをモニタリングします。 データはさまざまなプロジェクトおよびリージョンに保存されます。
カスタムロール 複数の Alibaba Cloud アカウントからのデータ、または Alibaba Cloud アカウントの異なるリージョンにあるすべてのプロジェクトからのデータをモニタリングします。 カスタムロールでは複雑な設定が必要であり、詳細なアクセス制御が可能です。

デフォルトの権限付与方法

プロジェクトのすべてのログストアとメトリクスストアからのデータをモニタリングします。 アラートのモニタリングルールの作成をする場合、[クエリ統計] [詳細設定] で、[権限付与] ドロップダウンリストから [デフォルト] を選択します。

ビルトインロールの権限付与方法

Alibaba Cloud アカウントに属する複数のプロジェクトのログストアとメトリクスストアからのデータをモニタリングするには、アカウントに AliyunSLSAlertMonitorRole ビルトインロールが付与されている必要があります。 このようにして、ソースログストアからデータを読み取ることができます。

次の手順は、アラートモニタリングルールの作成をする場合に AliyunSLSAlertMonitorRole ビルトインロールを付与する方法を説明します。

  1. アラートモニタリングルールを作成する場合は、[クエリ統計] フィールドの検索バーをクリックします。
  2. [クエリ統計] ダイアログボックスで、 [詳細設定] をクリックします。
  3. [権限付与] ドロップダウンリストから [ビルトインロール] を選択します。
  4. ビルトインロールを初めて設定する場合は、[権限付与] をクリックします。
    RAM ユーザーに対して、Alibaba Cloud アカウントから必要なアクセス権限を付与する必要があります。
    neizih
  5. [クラウドリソースアクセス許可] ページで、 [権限付与ポリシーの確定] をクリックします。

カスタムロールに Alibaba Cloud アカウントのデータをモニタリングする権限を付与する

カスタムロールを作成して、Alibaba Cloud アカウントに属する複数のプロジェクトのすべてのログストアとメトリクスストアからのデータをモニタリングできます。

  1. RAM コンソールにログインします。.
  2. アラートデータをモニタリングするためのポリシーを作成します。
    1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。
    2. [ポリシー] ページで [ポリシーの作成] をクリックします。 [カスタムポリシーの作成] ページが表示されます。
    3. [カスタムポリシー] ページでパラメーターを設定し、 [OK] をクリックします。 下表にパラメーターを示します。
      パラメーター 説明
      ポリシー名 ポリシーの名前です。 例:sls-alert- 1 -policy 。
      設定モード [スクリプト] をクリックします。
      ポリシードキュメント ポリシーのコンテンツです。 エディターのコンテンツを次のスクリプトに置き換えます。
      {   "Version": "1",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Action": [
                      "log:ListProject",
                      "log:GetLogStore",
                      "log:ListLogStores",
                      "log:GetLogStoreLogs",
                      "log:GetResourceRecord",
                      "log:ListResourceRecords",
                      "log:ListResources",
                      "log:GetResource"
                  ],
                  "Resource": [
                      "acs:log:*:*:*" 
                 ]
              }
          ]
      }

      特定のプロジェクトでアラートモニタリングルールのみを作成できるロールを作成する場合は、[リソース] フィールドの値を実際のプロジェクト名に置き換えることができます。 値は acs:log:*:*:project/プロジェクト名の形式である必要があります。

    4. [OK] をクリックします。
  3. 使用可能な RAM ロールがない場合は、アラートを管理するための RAM ロールを作成します。
    詳しくは、「 RAM ユーザーの作成」をご参照ください。
  4. アラート関連のポリシーを RAM ロールに追加します。
    1. 左側のナビゲーションウィンドウで、 [RAM ロール] をクリックします。
    2. [RAM ロール] ページで対象の RAM ユーザーを見つけて、[操作] 列で [権限の追加] をクリックします。
    3. [カスタムポリシー] タブで、手順 2 で作成したポリシー (sls-alert-monitor-1-policy など) を選択し、[OK] をクリックします。
    4. 権限付与の結果を確認したら、[完了] をクリックします。
    5. [信頼ポリシーの管理] タブで、[信頼ポリシーの編集] をクリックします。
      [サービス] フィールドに log.aliyuncs.com を追加します。 このポリシーは Alibaba Cloud アカウントに属する Log Service リソースを管理するための一時的な権限付与トークンがあることを示します。
      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "log.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }
  5. RAM ロールの ARN を取得します。
    1. ターゲット RAM ロールの RAM ロール名をクリックします。
    2. ロールの基本情報セクションで ARN を取得します。 例: acs:ram:: 13234 :role/logrole
  6. [クエリ統計] ダイアログボックスの [詳細設定] タブに ARN を入力します。
    Alibaba Cloud アカウントのデータをモニタリングするためのカスタムロールの承認

カスタムロールに複数の Alibaba Cloud アカウントのデータをモニタリングする権限を付与する

カスタムロールを作成して、複数の Alibaba Cloud アカウントのログストアとメトリクスストアからのデータをモニタリングできます。 たとえば、Alibaba Cloud アカウント A を使用してアラートを作成し、Alibaba Cloud アカウント B のログストアとメトリクスストアのデータをモニタリングする場合です。 次の手順では、アクセス権限を付与する方法について説明します。

  1. RAM コンソールにログインします。 Alibaba Cloud アカウント B を使用します。
  2. カスタムロールのポリシーを作成します。
    詳細については、 カスタムロールに Alibaba Cloud アカウントのデータをモニタリングする権限を付与するの手順 6 をご参照ください。 たとえば、作成するポリシーの名前が sls-alert-monitor-2-policy であるとします。
  3. 利用可能な RAM ロールがない場合は、アラートを管理するための RAM ロールを作成します。
    詳細については、「 RAM ユーザーの作成」をご参照ください。
  4. アラート関連のポリシーを RAM ロールに付与します。
    1. 左側のナビゲーションウィンドウで、 [RAM ロール] をクリックします。
    2. [RAM ユーザー] ページで対象の RAM ユーザーを見つけて、[操作] 列で [権限の追加] をクリックします。
    3. [カスタムポリシー] タブで、手順 2で作成したポリシー (sls-alert-monitor-2-policy など) を選択し、 [OK] をクリックします。
    4. 認証結果を確認したら、[OK] をクリックします。
    5. [信頼ポリシーの管理] タブで、[信頼ポリシーの編集] をクリックします。
      Alibaba Cloud アカウント A を [サービス] フィールドに Alibaba Cloud アカウント ID@log.aliyuncs.com の形式で追加します。Alibaba Cloud アカウント ID を実際の ID 番号に置き換えます。 Alibaba Cloud ID は [アカウント管理] > [セキュリティ設定] で確認できます。 このポリシーは、Alibaba Cloud アカウント A が、一時認証トークンを使用して Alibaba Cloud アカウント B のログストアとメトリクスストアのデータをモニタリングするアクセス権限があることを示します。
      {
          "Statement": [
              {
                  "Action": "sts:AssumeRole",
                  "Effect": "Allow",
                  "Principal": {
                      "Service": [
                          "ID of Alibaba Cloud account A@log.aliyuncs.com",
                          "log.aliyuncs.com"
                      ]
                  }
              }
          ],
          "Version": "1"
      }
  5. RAM ロールの ARN を取得します。
    ロールの [基本情報] セクションで ARN を取得します。(例:acs:ram::13234:role/logrole)
  6. [クエリ統計] ダイアログボックスの [詳細設定] タブに ARN を入力します。
    複数の Alibaba Cloud アカウントのデータをモニタリングするためのカスタムロールの承認