AccessKey ペアの設定 - Log Service - Alibaba Cloud ドキュメントセンター

データ処理タスクを作成する場合、 RAM ユーザーがソース Logstore にアクセスして処理されたデータをターゲット Logstore に書き込めるよう設定をすることができます。

このタスクについて

データ処理タスクは、次の 3 つのステップを使用して実行します。

ソース Logstore からデータを読み取ります。
ソースデータを結果データに変換します。
結果データをターゲット Logstore に書き込みます。

手順 1 と 3 では、それぞれソースおよびターゲット Logstore へのアクセスが必要です。 Alibaba Cloud アカウントを使用して、 Logstore にアクセスできます。アカウントのセキュリティ確保と詳細なアクセス制御のために、Alibaba Cloud アカウントを使用して RAM ユーザーに必要な権限を付与した上で、RAM ユーザーアカウントを使用して Logstore にアクセスすることを推奨します。

手順

ソース Logstore にアクセスする RAM ユーザーを作成します。
詳細については、「RAM ユーザーに Log Service へのアクセスを許可」をご参照ください。 [アクセスモード] を [プログラムによるアクセス] に設定し、RAM ユーザーの AccessKey ID と AccessKey シークレットを保存します。

ソース Logstore のポリシーを作成します。

[ポリシードキュメント] タブで、完全一致許可ポリシーまたはあいまい一致許可ポリシーをテキストボックスに貼り付け、必要に応じてパラメーター設定を変更します。詳細については、「カスタマイズポリシーの作成」をご参照ください。

完全一致許可ポリシー

ソースプロジェクト名は log-project-prod です。ソースの Logstore 名は access_log です。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/log-project-prod/logstore/access_log",
        "acs:log:*:*:project/log-project-prod/logstore/access_log/*"
      ],
      "Effect": "Allow"
    }
  ]
}

あいまい一致許可ポリシー

ソースプロジェクト名は log-project-dev-a、log-project-dev-b、log-project-dev-cです。ソースの Logstore 名は app_a_log、app_b_log、app_c_log です。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log",
    "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log/*"
      ],
      "Effect": "Allow"
    }
  ]
}

詳細は、「RAM カスタムポリシー」をご参照ください。

ソース Logstore にアクセスするように RAM ユーザーを設定します。
1. RAM コンソールにログインします。
2. 左側のナビゲーションウィンドウで、[識別子] > [ユーザー] を選択します。
3. ターゲットの RAM ユーザーの [アクション] 列で [権限の追加] をクリックします。
4. 「手順 2」で作成したポリシーを選択し、[OK] をクリックします。
ターゲット Logstore にデータを書き込むための RAM ユーザーを作成します。
詳細については、「RAM ユーザーに Log Service へのアクセスを許可」をご参照ください。 [アクセスモード] を [プログラムによるアクセス] に設定し、RAM ユーザーの AccessKey ID と AccessKey シークレットを保存します。
ソース Logstore にアクセスするためのポリシーを作成します。
[ポリシードキュメント] タブで、次のポリシーをテキストボックスに貼り付け、必要に応じてパラメーター設定を変更します。詳細については、「カスタマイズポリシーの作成」をご参照ください。
- 完全一致許可ポリシー
  ソースプロジェクト名は log-project-prod です。ソースの Logstore 名は access_log_output です。
```
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
       "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
      "Effect": "Allow"
    }
  ]
}
```
- あいまい一致許可ポリシー
  ソースプロジェクト名は、log-project-dev-a、log-project-dev-b、log-project-dev-c です。ソースのLogstore 名は、app_a_log_output、app_b_log_output、app_c_log_output です。
```
{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
       "Resource": "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log_output",
      "Effect": "Allow"
    }
  ]
}
```
  詳細については、「RAM カスタムポリシー」をご参照ください。
ターゲットロ Logstore にアクセスするように RAM ユーザーを設定します。
詳細については、「手順 3」をご参照ください。
データ処理タスクで RAM ユーザーの AccessKey ペアを設定します。
ソースプロジェクトが属するアカウントを使用して、Log Service コンソールにログインします。 [データ処理ルールの作成] ダイアログボックスで、次の図に示すように、ソース Logstore とターゲット Logstore に設定されている AccessKey ペアを入力します。