複数のプロジェクト、リージョン、またはAlibaba Cloudアカウントのデータを監視するには、Alibaba CloudアカウントまたはRAMユーザーを使用して、必要なLogstoreまたはMetricstoreからデータを読み取る権限をLog Serviceに付与する必要があります。 RAMユーザーには、アラート機能に関連する操作を実行する権限が必要です。
権限の付与方法
デフォルトの方法を使用して、Log Serviceを承認できます。 ビジネス要件に基づいて、組み込みロールまたはカスタムロールをLog Serviceに割り当てることもできます。 承認が完了すると、Log ServiceはLogstoreとMetricstoreにアクセスできます。
認証方法 | シナリオ |
---|---|
デフォルトの方法を使用 | アラートモニタリングルールを使用してプロジェクトのLogstoreおよびMetricstoreのデータをモニタリングする場合、デフォルトの方法を使用してLog Serviceを承認できます。 この場合、アラートモニタリングルールはプロジェクトに属します。 |
組み込みロールをLog Serviceに割り当てる | プロジェクトに属するアラートモニタリングルールを使用して、他のプロジェクトのLogstoreおよびMetricstoreのデータをモニタリングする場合、組み込みのロールをLog Serviceに割り当てることができます。 これらのプロジェクトは同じAlibaba Cloudアカウントに属しますが、データは異なるプロジェクトまたはリージョンに保存されます。 |
Log Serviceへのカスタムロールの割り当て | アラートモニタリングルールを使用して、複数のAlibaba Cloudアカウント間、または同じAlibaba Cloudアカウントに属する複数のリージョンまたはプロジェクト間のデータをモニタリングする場合、Log Serviceにカスタムロールを割り当てることができます。 カスタムロールを使用して、きめ細かいアクセス制御を実行できます。 |
ram:PassRole
権限を付与する必要があります。 次のスクリプトは、権限ポリシーを示しています。 詳細については、「RAM ユーザーに対するアラート管理の権限付与」をご参照ください。 {
"Action": "ram:PassRole",
"効果": "許可"、
"Resource": "acs:ram:: Alibaba CloudアカウントID: role ARN"
}
デフォルトの方法で Log Service を承認する
アラートモニタリングルールを使用してプロジェクトのLogstoreおよびMetricstoreのデータをモニタリングする場合、デフォルトの方法を使用してLog Serviceを承認できます。 アラートモニタリングルールの作成時にデフォルトの方法でLog Serviceを許可するには、[クエリ統計] ダイアログボックスの [詳細設定] タブの [許可] ドロップダウンリストから [デフォルト] を選択します。 詳細については、「ログに対するアラートモニタリングルールの作成」をご参照ください。
組み込みロールをLog Serviceに割り当てる
アラートモニタリングルールを使用して、同じAlibaba Cloudアカウントに属する複数のプロジェクトのLogstoreおよびMetricstoreのデータをモニタリングする場合、AliyunSLSAlertMonitorRole組み込みロールをLog Serviceに割り当てることができます。 これにより、Log ServiceはLogstoreおよびMetricstoreからデータを読み取ることができます。 アラートモニタリングルールを作成するときにAliyunSLSAlertMonitorRole組み込みロールをLog Serviceに割り当てるには、次の手順を実行します。 詳細については、「ログに対するアラートモニタリングルールの作成」をご参照ください。
- [アラートモニタリングルール] パネルで、[クエリ統計] フィールドのテキストボックスをクリックします。
- [詳細設定] タブで、[権限付与] ドロップダウンリストから [組み込みロール] を選択します。
- 初めて組み込みロールを設定する場合は、[権限付与] をクリックします。 説明 RAMユーザーを使用する場合は、Alibaba Cloudアカウントを使用してRAMユーザーに権限を付与する必要があります。
- [クラウドリソースアクセス権限付与] ページで、 [権限付与ポリシーの確定] をクリックします。
Log Serviceにカスタムロールを割り当てて、Alibaba Cloudアカウント内のデータを監視する
カスタムロールを使用して、同じAlibaba Cloudアカウントに属する複数のプロジェクトのLogstoreおよびMetricstoreのデータを監視できます。
次の手順を実行する前に、RAMロールを作成する必要があります。 詳細については、「サービスロール」をご参照ください。
- RAM コンソール にログインします。
- アラートを管理するポリシーを作成します。
- RAM ロールにポリシーを割り当てます。
- RAMロールの詳細ページの [基本情報] セクションで、Alibaba Cloudリソース名 (ARN) を取得します。 権限付与の完了後、アラートモニタリングルールを作成するときにRAMロールのARNを使用できます。 詳細については、「ログに対するアラートモニタリングルールの作成」をご参照ください。
Log Serviceにカスタムロールを割り当てて、複数のAlibaba Cloudアカウントのデータを監視する
カスタムロールを使用して、複数のAlibaba CloudアカウントのLogstoreおよびMetricstoreのデータをモニタリングできます。 たとえば、Alibaba CloudアカウントAを使用してアラートモニタリングルールを作成し、そのルールを使用してAlibaba CloudアカウントBのLogstoreおよびMetricstoreのデータをモニタリングできます。Log Serviceにカスタムロールを割り当てるには、次の手順を実行します。
次の手順を実行する前に、RAMロールを作成する必要があります。 詳細については、「サービスロール」をご参照ください。
- Alibaba CloudアカウントBを使用して、RAMコンソールにログインします。
- アラートを管理するポリシーを作成します。
- RAM ロールにポリシーを割り当てます。
- RAMロールの詳細ページの [基本情報] セクションで、ARNを取得します。 権限付与の完了後、アラートモニタリングルールを作成するときにRAMロールのARNを使用できます。 詳細については、「ログに対するアラートモニタリングルールの作成」をご参照ください。