本ドキュメントでは、コンテナサービスコンソールで RAM ユーザーが Prometheus モニタリングを管理するための権限を設定する方法について説明します。
前提条件
コンテナサービスコンソールでコンポーネントをインストールする権限が必要です。 詳細については、「RAM を使用したクラスターおよびクラウドリソースへのアクセス権限の付与」をご参照ください。
Prometheus サービスを有効化しました。
RAM ユーザーの権限設定
Prometheus モニタリングのインストールまたは更新のための権限設定
次のいずれかの方法で RAM ユーザーに権限を付与できます。
RAM ユーザーに AliyunCloudMonitorFullAccess システムポリシーを付与します。
RAM ユーザーにカスタム権限を付与します。
{ "Version": "1", "Statement": [ { "Action": [ "cms:GetCmsService", "cms:ListIntegrationPolicies", "cms:ListIntegrationPolicyDashboards", "cms:GetAddonRelease", "cms:GetPrometheusInstance", "log:QueryPrometheusMetrics", "log:GetLogStoreLogs", "cms:CreateAddonRelease", "cms:UpdateAddonRelease" ], "Resource": "*", "Effect": "Allow" } ] }
Prometheus モニタリングの表示のための権限設定
次のいずれかの方法で RAM ユーザーに権限を付与できます。
RAM ユーザーに AliyunCloudMonitorReadOnlyAccess システムポリシーを付与します。
RAM ユーザーにカスタム権限を付与します。
{ "Version": "1", "Statement": [ { "Action": [ "cms:GetCmsService", "cms:ListIntegrationPolicies", "cms:ListIntegrationPolicyDashboards", "cms:GetAddonRelease", "cms:GetPrometheusInstance", "log:QueryPrometheusMetrics", "log:GetLogStoreLogs" ], "Resource": "*", "Effect": "Allow" } ] }
リソースグループ範囲の権限設定
RAM ユーザーに AliyunCloudMonitorFullAccess または AliyunCloudMonitorReadOnlyAccess 権限を付与し、その権限をリソースグループに制限した場合、Container Service コンソールでコンポーネントをインストールしたり、ダッシュボードを表示したりすることはできません。 これは、現在のバージョンの Prometheus サービスがリソースグループと完全に統合されていないためです。 RAM ユーザーに以下の追加権限を付与してください:
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cms:GetCmsService",
"cms:ListIntegrationPolicies",
"cms:ListIntegrationPolicyDashboards",
"cms:GetAddonRelease"
],
"Resource": [
"acs:cms:*:{userId}:cmsservice/*",
"acs:cms:*:{userId}:integrationpolicy/*",
"acs:cms:*:{userId}:addonrelease/*"
]
}
]
}