プロジェクトやリージョン、Alibaba Cloud アカウント全体のデータをモニタリングするには、Alibaba Cloud のアカウントまたは RAM ユーザーを使用して、Log Service が必要な Logstore および Metricstore からのデータを読み取るための権限を付与する必要があります。 RAM ユーザーは、アラートに関連した操作を行うためのアクセス権限が必要です。

権限の付与方法

Log Service には、デフォルトの方法で権限を付与できます。 ビジネス要件に基づいて、Log Service にシステムロールまたはカスタムロールを割り当てることも可能です。 権限を付与することにより、Log Service は Logstore および Metricstore にアクセスできるようになります。

権限付与 シナリオ
デフォルト プロジェクトのアラートモニタリングルールでプロジェクトの Logstore および Metricstore のデータをモニタリングする場合、デフォルトの方法でログサービスに権限を付与できます。
組み込みロール あるプロジェクトのアラートモニタリングルールで他のプロジェクトの Logstore や Metricstore のデータをモニタリングする場合は、システムロールを Log Service に割り当てることができます。 このケースでは、いずれのプロジェクトも Alibaba Cloud の同じアカウントに属する一方で、データは異なるプロジェクトまたはリージョンに保存されます。
カスタムロール あるアラートモニタリングルールで Alibaba Cloud のアカウント全体、または Alibaba Cloud の同一アカウントのリージョンやプロジェクト全体のデータをモニタリングする場合、Log Service にカスタムロールを割り当てることができます。 カスタムロールでは、きめ細いアクセス制御が可能です。

デフォルトの方法で Log Service に対して権限を付与する

プロジェクトのアラートモニタリングルールでプロジェクトの Logstore および Metricstore のデータをモニタリングする場合、デフォルトの方法でログサービスに権限を付与できます。 デフォルトの方法を使用する場合は、アラート監視ルールの作成時に次の操作を実行します。 [クエリ統計] のダイアログボックスを開きます。 [高度な設定] タブをクリックします。 次に、[権限付与] ドロップダウンリストから [デフォルト] を選択します。 詳細については、「ログに対するアラートモニタリングルールの作成」をご参照ください。

Log Service にシステムロールを割り当てる

プロジェクトのアラートモニタリングルールで、Alibaba Cloud の同一アカウント内の他のプロジェクトの Logstore および Metricstore のデータをモニタリングする場合は、ログサービスに AliyunSLSAlertMonitorRole のシステムロールを割り当てることができます。 これにより、Log Service が Logstore および Metricstore にアクセスできるようになります。

以下の手順は、アラートモニタリングルールの作成時における、ログサービスへの AliyunSLSAlertMonitorRole システムロールの割り当て方法です。 詳細については、「ログに対するアラートモニタリングルールの作成」をご参照ください。

  1. [アラートモニタリングルール] パネルの [クエリ統計フィールド] 隣にあるエディタをクリックします。
  2. [クエリ統計] のダイアログボックスで、 [詳細設定] タブをクリックします。
  3. [権限付与] のドロップダウンリストから [組み込みロール] を選択します。
  4. Log Service に対して初めて権限を付与する場合は、[権限の付与] をクリックします。
    RAM ユーザーの使用時は、ユーザーが属する Alibaba Cloud アカウントに切り替えて権限を付与する必要があります。
    neizih
  5. [クラウドリソースアクセス権限付与] ページで、 [権限付与ポリシーの確定] をクリックします。

Log Service にカスタムロールを割り当て、単一の Alibaba Cloud アカウント内のデータをモニタリングする

カスタムロールを作成し、同じ Alibaba Cloud アカウントに属する複数プロジェクトの Logstore および Metricstore からのデータをモニタリングできます。

  1. RAM コンソール にログインします。
  2. アラートモニタリングの権限を含むポリシーを作成します。
    1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。
    2. [ポリシー] ページで [ポリシーの作成] をクリックします。
    3. [カスタムポリシーの作成] ページで以下のパラメーターを設定し、[OK] をクリックします。
      パラメーター 説明
      ポリシー名 ポリシー名。 この例では、sls-alert-monitor-1-policy と入力します。
      設定モード ポリシーの設定モード。 この例では、[スクリプト] を選択します。
      ポリシードキュメント ポリシーの内容。 この例では、エディターの内容を以下のスクリプトに置き換えます。 また、Project name を使用するプロジェクトの名前に置き換えます。 
      {
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:log:*:*:*"
      ]
    },
    {
      "Action": [
        "log:ListLogStores",
        "log:GetLogStoreLogs",
        "log:GetIndex"
      ],
      "Effect": "Allow",
      "Resource": [
        "acs:log:*:*:project/Project name/*"
      ]
    }
  ],
  "Version": "1"
}

      上記のポリシーを変更してきめ細かいアクセス制御を実現できます。 たとえば、あるロールに対し、1 つのプロジェクトでのみアラートモニタリングルールの作成権限を付与する場合は、上記のポリシーの Resource 要素に acs:log:*:*:project/my-projectと入力してプロジェクトを指定します。

    4. [OK] をクリックします。
  3. 使用可能な RAM ロールがない場合は、アラートモニタリングを実行するための RAM ロールを作成します。
    詳細については、「RAM ロールの作成」をご参照ください。
  4. RAM ロールにポリシーを割り当てます。
    1. 左側のナビゲーションウィンドウで、[ロール] をクリックします。
    2. [ロール] ページで対象の RAM ロールを確認し、[操作] 列で [権限の追加] をクリックします。
    3. [カスタムポリシー] タブで、ステップ 2 で作成したポリシーを選択し、[OK] をクリックします。 この例では、ポリシーは sls-alert-monitor-1-policy です。
    4. 権限付与の結果を確認したら、[完了] をクリックします。
    5. [信頼ポリシーの管理] タブで、[信頼ポリシーの編集] をクリックします。
      [サービス] フィールドに log.aliyuncs.com を追加します。 以下は、Alibaba Cloud アカウントのリソース管理を許可する一時的なトークンを Log Service に取得させるポリシーです。 
      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "log.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}
  5. RAM ロールの Alibaba Cloud Resource Name (ARN) を取得します。
    1. RAM ロールを確認し、RAM ロール名をクリックします。
    2. RAM ロールの [基本情報] セクションから ARN を取得します。 この例では、ARN は acs:ram::13234:role/logrole です。
  6. [クエリ統計] ダイアログボックスの [詳細設定] タブで ARN を入力します。
    Log Service にカスタムロールを割り当て、単一の Alibaba Cloud アカウント内のデータをモニタリングする

Log Service にカスタムロールを割り当てて複数の Alibaba Cloud アカウントのデータをモニタリングする

カスタムロールを作成し、Alibaba Cloud の複数アカウントに属するさまざまなプロジェクトの Logstore および Metricstore からのデータをモニタリングできます。 たとえば、Alibaba Cloud のアカウント A を使用して、Alibaba Cloud のアカウント B の Logstore および Metricstore のデータをモニタリングするようなアラートモニタリングルールを作成可能です。 以下の手順では、この例に沿って Log Service にカスタムロールを割り当てる方法について説明します。

  1. Alibaba Cloud のアカウント B を使用して、RAM コンソールにログインします。
  2. カスタムロールのポリシーを作成します。
    詳細については、Log Service にカスタムロールを割り当て、単一の Alibaba Cloud アカウント内のデータをモニタリングするの手順 6 をご参照ください。 この例では、sls-alert-monitor-2-policy という名前のポリシーを作成します。
  3. 使用可能な RAM ロールがない場合は、アラートモニタリングを実行するための RAM ロールを作成します。
    詳細については、「RAM ロールの作成」をご参照ください。
  4. RAM ロールにポリシーを割り当てます。
    1. 左側のナビゲーションウィンドウで、[ロール] をクリックします。
    2. [ロール] ページで対象の RAM ロールを見つけ、[操作] 列で [権限の追加] をクリックします。
    3. [カスタムポリシー] タブで、ステップ 2 で作成したポリシーを選択し、[OK] をクリックします。 この例では、ポリシーは sls-alert-monitor-2-policy です。
    4. 承認結果を確認し、[完了] をクリックします。
    5. [信頼ポリシーの管理] タブで、[信頼ポリシーの編集] をクリックします。
      Alibaba Cloud アカウント A を、アカウント ID@log.aliyuncs.com 形式で Service フィールドに追加します。 アカウント IDを、Alibaba Cloud アカウント A の実際の ID に置き換えます。Alibaba Cloud アカウント A の ID を表示するには、右上のプロフィール写真をクリックします。 アカウントセンターセキュリティ設定ページで ID を表示します。 以下のポリシーを使用すると、Alibaba Cloud のアカウント A は、Alibaba Cloud のアカウント B が Logstore および Metricstore のデータをモニタリングするための一時トークンを取得できます。 
      {
    "Statement": [
        {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
                "Service": [
                    "ID of Alibaba Cloud Account A@log.aliyuncs.com",
                    "log.aliyuncs.com"
                ]
            }
        }
    ],
    "Version": "1"
}
  5. RAM ロールの ARN を取得します。
    RAM ロールの基本情報セクションから ARN を取得します。 この例では、ARN は acs:ram::13234:role/logrole です。
  6. [クエリ統計] ダイアログボックスの [詳細設定] タブで ARN を入力します。
    Log Service にカスタムロールを割り当て、単一の Alibaba Cloud アカウント内のデータをモニタリングする