このトピックでは、Resource Access Management (RAM) ユーザーのActionTrail権限を管理する方法について説明します。 カスタムポリシーを作成し、RAMユーザーにアタッチできます。 その後、RAMユーザーはActionTrailコンソールにログインし、関連する操作を実行できます。
このタスクについて
- RAMユーザーのActionTrail権限を管理する前に、次のシステムポリシーに注意してください。
- AliyunActionTrailFullAccess: RAMユーザーにActionTrailリソースを管理する権限を付与します。
- AliyunActionTrailReadOnlyAccess: ActionTrailリソースに対する読み取り専用権限を付与します。
これら 2 つのシステムポリシーが業務要件を満たすことができない場合、カスタムポリシーを作成できます。
- RAMユーザーのActionTrail権限を管理する前に、ActionTrail権限に注意してください。 詳細については、「RAM アカウントへの権限付与」をご参照ください。
手順
- RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
- カスタムポリシーを作成します。 詳細については、「カスタムポリシーの作成」および「ポリシー例」をご参照ください。
- ポリシーをRAMユーザーにアタッチします。 詳細については、「RAM ユーザーへの権限付与」をご参照ください。
ポリシー例
ActionTrailリソースに対する読み取り専用権限をRAMユーザーに付与し、RAMユーザーがIPアドレス42.120.X X.X/24からのみActionTrailにアクセスできるようにします。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": [
"actiontrail:Lookup *" 、
"actiontrail:Describe*",
"actiontrail:Get *" 、
"actiontrail: チェック *" 、
"actiontrail: リスト *"
],
"Resource": "*",
"Condition": {
"IpAddress": {
"acs:SourceIp": "42.120.XX.X/24"
}
}
}
]
}