すべてのプロダクト
Search

このプロダクト

    Simple Log Service:デフォルトロールを使用したデータへのアクセス

    ドキュメントセンター

    Simple Log Service:デフォルトロールを使用したデータへのアクセス

    最終更新日:Aug 30, 2024

    AliyunLogDefaultRoleのデフォルトロールには、Logstoreからデータを読み取り、Object Storage Service (OSS) バケットにデータを書き込む権限があります。 OSS-HDFSデータ配布ジョブにAliyunLogDefaultRoleのデフォルトロールを引き受けて、ソースLogstoreからデータを読み取り、宛先OSSバケットにデータを書き込むことを許可できます。

    同じAlibaba Cloudアカウント内でデータを出荷する

    LogstoreとOSSバケットが同じAlibaba Cloudアカウントに属している場合、[Cloud Resource Access Authorization] をクリックして、アカウント内にAliyunLogDefaultRoleロールを作成できます。

    AliyunLogDefaultRoleロールを作成した後、OSS-HDFSデータ配布ジョブを作成するときに、[OSS-HDFS RAMロール] および [Logstore読み取りRAMロール][デフォルトロール] を選択できます。 これにより、ジョブはAliyunLogDefaultRoleロールを引き受けることが許可され、ソースLogstoreからデータを読み取り、ターゲットOSSバケットにデータを書き込むことができます。 image.png

    Alibaba Cloudアカウント間でデータを出荷する

    LogstoreとOSSバケットが異なるAlibaba Cloudアカウントに属している場合、各アカウントにログインし、[Cloud Resource Access Authorization] をクリックしてAliyunLogDefaultRoleロールを作成する必要があります。 この例では、LogstoreはAlibaba CloudアカウントAに属し、OSSバケットはAlibaba CloudアカウントBに属します。ロールが作成されたら、次の手順を実行します。

    1. Alibaba CloudアカウントBを使用して、Resource Access Management (RAM) コンソール.

    2. 左側のナビゲーションウィンドウで、アイデンティティ > ロール.

    3. AliyunLogDefaultRoleロールの信頼ポリシーを変更します。

      1. [ロール] ページで、AliyunLogDefaultRoleロールの名前をクリックします。

      2. 表示されるページで、[信頼ポリシー] タブをクリックします。 次に、[信頼ポリシーの編集] をクリックします。

      3. 既存のスクリプトを次のスクリプトに置き換え、信頼ポリシードキュメントの保存.

        Alibaba CloudアカウントA@log.aliyuncs.comのIDサービス要素に追加します。 Alibaba CloudアカウントAのIDを実際のIDに置き換えます。 アカウントセンターコンソールでAlibaba CloudアカウントのIDを確認できます。

        次のポリシーにより、Alibaba CloudアカウントAは、Alibaba cloudアカウントBのクラウドリソースを管理するための一時的なSTS (Security Token Service) トークンを取得できます。 

        {
  "Statement": [
   {
     "Action": "sts:AssumeRole",
     "Effect": "Allow",
     "Principal": {
       "Service": [
         "ID of Alibaba Cloud Account A@log.aliyuncs.com",
         "log.aliyuncs.com"
       ]
     }
   }
  ],
  "Version": "1"
}

      上記の設定が完了したら、[カスタムロール] [OSS-HDFS RAMロールの書き込み] を選択し、Alibaba CloudアカウントBに属するAliyunLogDefaultRoleロールのAlibaba Cloudリソース名 (ARN) を入力し、[デフォルトロール] [Logstore読み取りRAMロール] を選択してOSS-HDFSデータ転送ジョブを作成します。 このようにして、ジョブは、Alibaba CloudアカウントAに属するAliyunLogDefaultRoleロールを引き受けてソースLogstoreからデータを読み取り、Alibaba CloudアカウントBに属するAliyunLogDefaultRoleロールを引き受けてターゲットOSSバケットにデータを書き込むことが許可されます。 ARNの例: acs:ram::11 **** 13:role/aliyunlogdefaultrole。 詳細については、「AliyunLogDefaultRoleロールのARNの取得」をご参照ください。 image.png

    AliyunLogDefaultRoleロールのARNの取得

    1. RAMコンソールAlibaba Cloudアカウントを使用します。

    2. 左側のナビゲーションウィンドウで、アイデンティティ > ロール.

    3. [ロール] ページで、AliyunLogDefaultRoleロールを見つけ、ロールの名前をクリックします。

    4. 表示されるページで、ロールのARNを取得します。基本情報セクションにアクセスします。

      ARNを記録する。 OSS-HDFSデータ配布ジョブを作成するときにデフォルトのロールを使用する場合は、ARNを入力する必要があります。