カスタムポリシーを使用して、ユーザー権限をきめ細かく管理できます。 カスタムポリシーを使用すると、RAMユーザー、RAMロール、または他のAlibaba Cloudサービスのアクセス許可を制御したり、チームまたは部門のメンバーを認証したりできます。 カスタムポリシーを作成する場合は、Action要素とResource要素を設定する必要があります。 このトピックでは、Action要素とResource要素で指定できるオブジェクトについて説明します。
背景情報
デフォルトでは、Alibaba CloudアカウントまたはAlibaba Cloudアカウント内のRAMユーザーを使用して、Elasticsearchコンソールで、またはElasticsearch API操作を呼び出すことによって、Elasticsearchリソースを管理できます。 以下のシナリオでは、認証が必要です。
Alibaba Cloudアカウント内の新しいRAMユーザーには、Alibaba Cloudアカウントのリソースに対して操作を実行する権限がありません。
他のAlibaba CloudサービスからElasticsearchリソースにアクセスする場合、またはElasticsearchが他のAlibaba Cloudサービスのリソースにアクセスする必要がある場合。
リソース所有者によってリソースとAPI操作の権限が付与される必要があるElasticsearchリソースに対して操作を実行する場合。
カスタムポリシー
RAMコンソールで、またはRAM API操作 CreatePolicyを呼び出すことにより、カスタムポリシーを作成できます。 提供されているJSONテンプレートに基づいて、カスタムポリシーのドキュメントを指定する必要があります。 Action要素とResource要素で指定できるオブジェクトは、「認証がサポートされているオブジェクト」セクションに記載されています。 詳細については、「カスタムポリシーの作成」および「ポリシー要素」をご参照ください。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"elasticsearch:[Elasticsearch RAM Action]", // Elasticsearch RAMアクション
"elasticsearch:ListInstance"
],
"Resource": [
"[Elasticsearch RAM Action Resource]", // Elasticsearch RAMアクションリソース
"acs:elasticsearch:cn-hangzhou:133071096032****:instances/es-cn-2r42b7uyg003k****"
]
}
],
"Version": "1"
}認証がサポートされているオブジェクト
Elasticsearch
クラスターの管理
Action
Resource
アクションの説明
elasticsearch:CreateInstance
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
クラスターを作成します。
elasticsearch:ListInstance
すべてのクラスターの詳細をクエリします。
elasticsearch:DescribeInstance
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターの詳細をクエリします。
elasticsearch:EstimatedRestartTime
クラスターの再起動に必要な推定時間をクエリします。
elasticsearch:RestartInstance
クラスターを再起動します。
elasticsearch:UpdateInstanceChargeType
クラスターの課金方法を従量課金制からサブスクリプションに切り替えます。
elasticsearch:UpdateDescription
クラスターの名前を変更します。
elasticsearch:DeleteInstance
従量課金制クラスターをリリースします。
elasticsearch:CancelDeletion
リリース後にフリーズされたクラスターを復元します。
elasticsearch:RenewInstance
サブスクリプションクラスターを更新します。
elasticsearch:ActivateZones
無効化されたゾーンのノードを復元します。
elasticsearch:DeactivateZones
マルチゾーンクラスターが存在する1つ以上のゾーンを無効化し、無効化されたゾーンのノードを他のゾーンにマイグレーションします。
elasticsearch:InterruptElasticsearchTask
クラスターの変更タスクを一時停止します。
elasticsearch:ResumeElasticsearchTask
クラスターの変更タスクを再開します。
elasticsearch:DescribeElasticsearchHealth
クラスターのヘルスステータスをクエリします。
elasticsearch:ListInstanceIndices
クラスターのインデックスをクエリします。
elasticsearch:MigrateToOtherZone
ゾーン間でノードをマイグレーションします。
elasticsearch:MoveResourceGroup
クラスターをリソースグループにマイグレーションします。
elasticsearch:ModifyInstanceMaintainTime
クラスターのメンテナンスウィンドウを有効にし、変更します。
elasticsearch:ListShardRecoveries
シャードで進行中および完了したデータ復元タスクの進捗状況をクエリします。
タグの管理
Action
Resource
アクションの説明
elasticsearch:ListTags
acs:elasticsearch:<yourRegionId>:<yourAccountId>:tags/<yourInstanceId>
すべての表示可能なユーザタグをクエリします。
elasticsearch:CreateTags
タグを作成または更新します。
elasticsearch:RemoveTags
タグを削除します。
elasticsearch:ListTagResources
acs:elasticsearch:<yourRegionId>:<yourAccountId>:tags/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:tags/<yourInstanceId>
表示可能なタグとリソース間の関係をクエリします。
データのマイグレーション
Action
Resource
アクションの説明
elasticsearch:ListDataTasks
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
データマイグレーションタスクに関する情報をクエリします。
elasticsearch:CancelTask
データマイグレーションタスクをキャンセルします。
elasticsearch:CreateDataTasks
指定されたクラスターにデータをマイグレーションするためのデータマイグレーションタスクを作成します。
elasticsearch:DeleteDataTask
データマイグレーションタスクを削除します。
elasticsearch:GetClusterDataInformation
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターのデータ情報をクエリします。
クラスター構成のアップグレードまたはダウングレード
Action
Resource
アクションの説明
elasticsearch:UpgradeEngineVersion
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターのバージョンまたはカーネルをアップグレードします。
elasticsearch:UpdateInstance
クラスターの構成を変更します。
elasticsearch:DowngradeInstance
クラスターのスケールイン前に、クラスター内の特定のノードのデータをマイグレーションできるかどうかを確認します。
クラスターのスケールイン前にデータをマイグレーションします。
特定のノードをクラスターから削除できるかどうかを確認します。
クラスターをスケールインします。
クラスターの設定
Action
Resource
アクションの説明
elasticsearch:UpdateInstanceSettings
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターのYMLファイルの構成を更新します。
elasticsearch:UpdateHotIkDicts
analysis-ikプラグインのローリングアップデートを実行します。プラグインのIKメイン辞書とストップワードリストが含まれます。
elasticsearch:UpdateSynonymsDicts
クラスターのシノニム辞書を更新します。
elasticsearch:UpdateDict
analysis-ikプラグインの標準アップデートを実行します。プラグインのIKメイン辞書とストップワードリストが含まれます。
elasticsearch:UpdateAliwsDict
analysis-aliwsプラグインの辞書ファイルを更新します。
elasticsearch:ListDictInformation
クラスターにオブジェクトをアップロードするときに、オブジェクトストレージサービス(OSS)に格納されている辞書オブジェクトの詳細をクエリして検証します。
elasticsearch:UpdateAdvancedSetting
クラスターのガベージコレクター(GC)構成を更新します。
elasticsearch:DescribeTemplates
クラスターのシナリオベースの構成テンプレートをクエリします。
elasticsearch:ListDicts
指定されたタイプの辞書の詳細と、辞書をダウンロードするために関連する署名に基づいて生成されるリンクをクエリします。
プラグインの管理
Action
Resource
アクションの説明
elasticsearch:ListPlugins
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターにインストールされているプラグインをクエリします。
elasticsearch:InstallSystemPlugin
組み込みプラグインをインストールします。
elasticsearch:UninstallPlugin
組み込みプラグインをアンインストールします。
elasticsearch:InstallUserPlugins
Elasticsearchコンソールにアップロードされたカスタムプラグインをインストールします。
ログのクエリ
Action
Resource
アクションの説明
elasticsearch:ListSearchLogs
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターのログをクエリします。
セキュリティ設定の構成
Action
Resource
アクションの説明
elasticsearch:TriggerNetwork
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
ElasticsearchまたはKibanaのパブリックネットワークアクセスまたはプライベートネットワークアクセス機能を有効または無効にします。
elasticsearch:UpdatePrivateNetworkWhiteIps
クラスターのプライベートIPアドレスホワイトリストを更新します。
elasticsearch:UpdatePublicWhiteIps
クラスターのパブリックIPアドレスホワイトリストを更新します。
elasticsearch:UpdatePublicNetwork
クラスターのパブリックネットワークアクセス機能を有効または無効にします。
elasticsearch:UpdateWhiteIps
クラスターのプライベートIPアドレスホワイトリストを更新します。
elasticsearch:ModifyWhiteIps
クラスターのIPアドレスホワイトリストを更新します。
elasticsearch:UpdateAdminPassword
クラスターのelasticアカウントのパスワードを更新します。
elasticsearch:OpenHttps
HTTPSを有効にします。
elasticsearch:CloseHttps
HTTPSを無効にします。
elasticsearch:AddConnectableCluster
クラスターを接続します。
elasticsearch:DeleteConnectedCluster
クラスターを切断します。
elasticsearch:DescribeConnectableClusters
指定されたクラスターに接続できるクラスターをクエリします。指定されたクラスターに接続されているクラスターは除外されます。
elasticsearch:ListConnectedClusters
指定されたクラスターに接続されているクラスターのリストをクエリします。
elasticsearch:DeleteVpcEndpoint
サービスアカウント内のVPCのエンドポイントを削除します。
elasticsearch:ListVpcEndpoints
サービスアカウント内のVPCのエンドポイントのステータスをクエリします。
データのバックアップ
Action
Resource
アクションの説明
elasticsearch:CreateSnapshot
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターのスナップショットを作成します。
elasticsearch:AddSnapshotRepo
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
クラスターの共有OSSリポジトリを作成します。
elasticsearch:DeleteSnapshotRepo
クラスターの共有OSSリポジトリを削除します。
elasticsearch:ListSnapshotReposByInstanceId
クラスターに構成されている共有OSSリポジトリのリストをクエリします。
elasticsearch:ListAlternativeSnapshotRepos
acs:elasticsearch:<yourRegionId>:<yourAccountId>:snapshotrepository/*
クラスターに構成できる共有OSSリポジトリをクエリします。
elasticsearch:DescribeSnapshotSetting
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
クラスターのデータバックアップ構成をクエリします。
elasticsearch:UpdateSnapshotSetting
クラスターのデータバックアップ構成を更新します。
インテリジェントO&Mの実行
Action
Resource
アクションの説明
elasticsearch:OpenDiagnosis
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId>
インテリジェントO&Mを有効にします。
elasticsearch:CloseDiagnosis
インテリジェントO&Mを無効にします。
elasticsearch:UpdateDiagnosisSettings
インテリジェントO&Mのシナリオ設定を更新します。
elasticsearch:DiagnoseInstance
クラスターを診断します。
elasticsearch:ListDiagnoseReport
過去のインテリジェントO&Mレポートをクエリします。
elasticsearch:ListDiagnoseReportIds
過去のインテリジェントO&MレポートのIDをクエリします。
elasticsearch:ListDiagnoseIndices
ヘルス診断が実行されるインデックスをクエリします。
elasticsearch:DescribeDiagnoseReport
過去のインテリジェントO&Mレポートをクエリします。
elasticsearch:DescribeDiagnosisSettings
インテリジェントO&Mのシナリオ設定をクエリします。
Kibana
Action | Resource | アクションの説明 |
elasticsearch:DescribeKibanaSettings | acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/<yourInstanceId> | Kibanaの構成をクエリします。 |
elasticsearch:UpdateKibanaSettings | Kibanaの構成を更新します。 | |
elasticsearch:ListKibanaPlugins | Kibanaのプラグインをクエリします。 | |
elasticsearch:InstallKibanaSystemPlugin | Kibanaのプラグインをインストールします。 | |
elasticsearch:UninstallKibanaPlugin | Kibanaのプラグインをアンインストールします。 | |
elasticsearch:UpdateKibanaWhiteIps | KibanaへのアクセスのためのIPアドレスホワイトリストを変更します。 |
Logstash
クラスターの管理
Action
Resource
アクションの説明
elasticsearch:CreateLogstash
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/*
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
クラスターを作成します。
elasticsearch:ListLogstash
指定されたクラスターまたはすべてのクラスターの詳細をクエリします。
elasticsearch:DescribeLogstash
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
クラスターの詳細をクエリします。
elasticsearch:UpdateLogstash
ノード数、クォータ、名前、ハードディスクサイズなど、クラスターに関するいくつかの情報を変更します。
elasticsearch:RenewLogstash
クラスターを更新します。
elasticsearch:RestartLogstash
クラスターを再起動します。
elasticsearch:EstimatedLogstashRestartTime
クラスターの再起動に必要な推定時間をクエリします。
elasticsearch:UpdateLogstashDescription
クラスターの名前を変更します。
elasticsearch:UpdateLogstashChargeType
クラスターの課金方法を従量課金制からサブスクリプションに切り替えます。
elasticsearch:DeleteLogstash
従量課金制クラスターをリリースします。
elasticsearch:CancelLogstashDeletion
リリース後にフリーズされたクラスターを復元します。
クラスターの設定
Action
Resource
アクションの説明
elasticsearch:UpdateLogstashSettings
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
クラスターの構成を更新します。
elasticsearch:ListExtendfiles
クラスターに構成されているサードパーティライブラリをクエリします。
elasticsearch:UpdateExtendfiles
クラスターに構成されているサードパーティライブラリを更新します。
プラグインの管理
Action
Resource
アクションの説明
elasticsearch:ListPlugin
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
プラグインのリストをクエリします。
elasticsearch:InstallSystemPlugin
組み込みプラグインをインストールします。
elasticsearch:UninstallSystemPlugin
組み込みプラグインをアンインストールします。
クラスターの監視とログのクエリ
Action
Resource
アクションの説明
elasticsearch:ListAvailableEsInstanceIds
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
X-Pack監視機能を備え、Logstashクラスターに関連付けることができるElasticsearchクラスターをクエリします。
elasticsearch:ValidateConnection
LogstashクラスターのX-Pack監視機能を構成するときに、Logstashクラスターとそれに関連付けられたElasticsearchクラスター間の接続をテストします。
elasticsearch:UpdateXpackMonitorConfig
LogstashクラスターのX-Pack監視機能の構成を更新します。
elasticsearch:DescribeXpackMonitorConfig
LogstashクラスターのX-Pack監視機能の構成をクエリします。
elasticsearch:ListLogstashLog
Logstashクラスターのログをクエリします。
タスクの管理
Action
Resource
アクションの説明
elasticsearch:InterruptLogstashTask
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
変更タスクを一時停止します。
elasticsearch:ResumeLogstashTask
変更タスクを再開します。
パイプラインの管理
Action
Resource
アクションの説明
elasticsearch:CreatePipelines
acs:elasticsearch:<yourRegionId>:<yourAccountId>:logstashes/<yourInstanceId>
パイプラインを作成します。
elasticsearch:ListPipeline
パイプラインのリストをクエリします。
elasticsearch:DescribePipeline
パイプラインの構成をクエリします。
elasticsearch:UpdatePipelines
パイプラインの構成を更新します。
elasticsearch:RunPipelines
パイプラインをすぐにデプロイします。
elasticsearch:StopPipelines
パイプラインを停止します。
elasticsearch:UpdatePipelineManagementConfig
パイプライン管理方法を更新します。
elasticsearch:DescribePipelineManagementConfig
パイプライン管理構成をクエリします。
elasticsearch:ListPipelineIds
LogstashクラスターとElasticsearchクラスターのKibanaコンソール間の接続をテストし、ElasticsearchクラスターのKibanaコンソールで作成されたパイプラインのIDをクエリします。
elasticsearch:DeletePipelines
パイプラインを削除します。
Beats
Action | Resource | アクションの説明 |
elasticsearch:CreateCollector | acs:elasticsearch:<yourRegionId>:<yourAccountId>:collectors/<yourCollectorId> | シッパーを作成します。 |
elasticsearch:DescribeCollector | シッパーの詳細をクエリします。 | |
elasticsearch:ReinstallCollector | シッパーの作成時にインストールに失敗したシッパーをインストールします。 | |
elasticsearch:ListCollectors | acs:elasticsearch:<yourRegionId>:<yourAccountId>:collectors/* | シッパーのリストをクエリします。 |
elasticsearch:ListDefaultCollectorConfigurations | シッパーのデフォルト構成ファイルをクエリします。 | |
elasticsearch:UpdateCollectorName | acs:elasticsearch:<yourRegionId>:<yourAccountId>:collectors/<yourCollectorId> | シッパーの名前を変更します。 |
elasticsearch:UpdateCollector | シッパーに関する情報を更新します。 | |
elasticsearch:StartCollector | シッパーを起動します。 | |
elasticsearch:RestartCollector | シッパーを再起動します。 | |
elasticsearch:StopCollector | シッパーを停止します。 | |
elasticsearch:DeleteCollector | シッパーを削除します。 | |
elasticsearch:ListEcsInstances | Elastic Compute Service(ECS)インスタンスのリストをクエリします。 | |
elasticsearch:ModifyDeployMachine | シッパーがインストールされているECSインスタンスを変更します。 | |
elasticsearch:ListNodes | シッパーがインストールされているECSインスタンスのステータスをクエリします。 | |
elasticsearch:ListAckClusters | acs:elasticsearch:<yourRegionId>:<yourAccountId>:ackClusters/* | Container Service for Kubernetes(ACK)クラスターのリストをクエリします。 |
elasticsearch:ListAckNamespaces | acs:elasticsearch:<yourRegionId>:<yourAccountId>:ackClusters/<yourClusterId> | ACKクラスターのすべての名前空間をクエリします。 |
elasticsearch:DescribeAckOperator | ACKクラスターにインストールされているES-operatorに関する情報をクエリします。 | |
elasticsearch:InstallAckOperator | ACKクラスターにES-operatorをインストールします。 |
アクセス制御
Action | Resource | アクションの説明 |
elasticsearch:InitializeOperationRole | acs:elasticsearch:<yourRegionId>:<yourAccountId>:instances/* | サービスリンクロールを作成します。 |
CloudMonitor
Action | Resource | アクションの説明 |
cms:ListProductOfActiveAlert | * | CloudMonitorがアクティブになっているサービスをクエリします。 |
cms:ListAlarm | 指定されたアラートルールまたはすべてのアラートルールの設定をクエリします。 | |
cms:QueryMetricList | 特定の期間にわたるクラスターの監視データをクエリします。 |
Elasticsearch購入ページに表示されるVPCとvSwitch
Action | Resource | アクションの説明 |
elasticsearch:DescribeVpcs | acs:elasticsearch:<yourRegionId>:<yourAccountId>:vpc/* | 仮想プライベートクラウド(VPC)をクエリします。 |
elasticsearch:DescribeVswitches | acs:elasticsearch:<yourRegionId>:<yourAccountId>:vswitch/* | vSwitchのリストをクエリします。 |
パラメーター
このセクションでは、前のセクションのResource要素に含まれるパラメーターについて説明します。
<yourRegionId>: このパラメーターをElasticsearchクラスターまたはLogstashクラスターのリージョンIDに設定します。 すべてのリソースグループを示すために、このパラメーターをアスタリスク(*)に設定することもできます。 次の表に、ElasticsearchとLogstashが利用可能なすべてのリージョンのIDを示します。
リージョン名
リージョン ID
中国
中国(上海)
cn-shanghai
中国(深圳)
cn-shenzhen
中国(青島)
cn-qingdao
中国(張家口)
cn-zhangjiakou
中国(北京)
cn-beijing
中国(杭州)
cn-hangzhou
中国(香港)
cn-hongkong
アジア太平洋
シンガポール
ap-southeast-1
マレーシア(クアラルンプール)
ap-southeast-3
日本(東京)
ap-northeast-1
インドネシア(ジャカルタ)
ap-southeast-5
ヨーロッパ&アメリカ
米国(バージニア)
us-east-1
米国(シリコンバレー)
us-west-1
ドイツ(フランクフルト)
eu-central-1
英国(ロンドン)
eu-west-1
<yourAccountId>: このパラメーターをAlibaba CloudアカウントのIDに設定します。 すべてのアカウントを示すために、このパラメーターをアスタリスク(*)に設定することもできます。
<yourInstanceId>: このパラメーターをElasticsearchクラスターまたはLogstashクラスターのIDに設定します。 すべてのクラスターを示すために、このパラメーターをアスタリスク(*)に設定することもできます。
<yourCollectorId>: このパラメーターをBeatsシッパーのIDに設定します。
<yourClusterId>: このパラメーターを、BeatsシッパーがインストールされているACKクラスターのIDに設定します。