Resource Access Management (RAM) は、Simple Log Service (SLS) 向けのアイデンティティ管理とアクセス制御を提供します。RAM を使用して、ユーザーアカウントを作成し、権限を制御し、サービスロールとユーザーロールに SLS リソースへのアクセス権限を付与します。
RAM とは
Resource Access Management (RAM) は、アイデンティティ管理とアクセス制御のための Alibaba Cloud サービスです。RAM を使用すると、従業員、システム、またはアプリケーション用のユーザーアカウントを作成および管理し、それらのリソースに対する権限を制御できます。複数のユーザーがリソースで共同作業する場合、RAM を使用することで Alibaba Cloud アカウントキーを共有する必要がなくなります。必要最小限の権限のみを割り当てることで、セキュリティリスクを低減します。
RAM を使用して、RAM ユーザー、サービスロール、ユーザーロールに、SLS リソースへのきめ細かなアクセス権限を付与します。
関連操作
-
[アイデンティティ管理]
RAM を使用して、ユーザーアカウント、ユーザーグループ、SLS などの Alibaba Cloud サービスのサービスロール、クロスアカウント操作のためのユーザーロールを作成および管理します。
SLS は、API Gateway や SLB などの Alibaba Cloud サービスからログデータを収集します。これを有効にするには、[リソースアクセス権限付与] ページでサービスロールを作成して権限を付与します。
ロール
デフォルトの権限
説明
AliyunLogArchiveRole
AliyunLogArchiveRolePolicy
SLB ログにアクセスしてエクスポートするためのデフォルトロールです。権限を付与するには、リソースアクセス権限付与 をクリックします。
AliyunLogImportOSSRole
AliyunLogImportOSSRolePolicy
SLS が OSS からデータをインポートできるようにするためのロールです。権限を付与するには、リソースアクセス権限付与 をクリックします。
AliyunLogDefaultRole
AliyunLogRolePolicy
OSS への書き込み権限を持つ、SLS のデフォルトロールです。権限を付与するには、リソースアクセス権限付与 をクリックします。
AliyunLogETLRole
AliyunLogETLRolePolicy
抽出、変換、ロード (ETL) 機能で、SLS が他の Alibaba Cloud サービスのリソースにアクセスできるようにするためのロールです。権限を付与するには、リソースアクセス権限付与 をクリックします。
AliyunMNSLoggingRole
AliyunMNSLoggingRolePolicy
MNS ログにアクセスしてエクスポートするためのデフォルトロールで、OSS への書き込み権限を持ちます。権限を付与するには、リソースアクセス権限付与 をクリックします。
-
[リソースアクセス制御]
Alibaba Cloud アカウント内のユーザーアカウント、ユーザーグループ、ロールに権限ポリシーを付与します。
カスタムポリシーを作成するか、既存のポリシーをテンプレートとして使用して、きめ細かなアクセス制御を実現します (認証ルール)。
SLS は、次のシステムポリシーをサポートしています:
権限ポリシー
タイプ
説明
AliyunLogFullAccess
システムポリシー
SLS に対する完全な管理権限を付与します。
AliyunLogReadOnlyAccess
システムポリシー
SLS に対する読み取り専用アクセス権限を付与します。
-
[RAM ユーザーに対する SLS のアクセス権限付与]
Alibaba Cloud アカウント所有者は、RAM ユーザーにアクセス権限を付与することで、SLS の運用保守 (O&M) を委任できます。RAM ユーザーには、必要最小限の権限のみを付与してください (RAM ユーザーの作成と権限付与)。
-
[サービスロールへのログ読み取り権限の付与]
SLS のアラート機能はログの内容を読み取ります。これを有効にするには、SLS サービスアカウントにログデータへのアクセス権限を付与する必要があります (信頼された Alibaba Cloud サービス用の RAM ロールの作成と権限付与)。
-
[ユーザーロールへの SLS の管理権限の付与]
RAM ロールは、永続的な認証キーを持たない仮想アイデンティティです。Alibaba Cloud アカウント、RAM ユーザー、または Alibaba Cloud サービスなどの信頼されたエンティティがロールを引き受け、一時的なセキュリティトークンを取得して、承認されたリソースにアクセスします。
-
信頼されたエンティティがロールを引き受けて SLS を管理できるように、RAM ロールに SLS に対する権限を付与します (RAM ロールを使用した Alibaba Cloud アカウント間のリソースへのアクセス)。
-
モバイルアプリクライアントが SLS にアクセスし、ログを直接アップロードできるように権限を付与します (収集:モバイルクライアントからログを直接アップロードするサービスの構築)。
-