すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:RAM ロールに Logstore からログデータを読み取る権限を付与する

最終更新日:Apr 03, 2026

Simple Log Service Logstore から MaxCompute にログデータを転送する場合、Logstore からログデータを読み取るには、デフォルトロールまたはカスタムロールを使用する必要があります。このトピックでは、Simple Log Service Logstore からログデータを読み取るために、デフォルトロールまたはカスタムロールに権限を付与する方法について説明します。

デフォルトロールにログデータを読み取る権限を付与する

操作手順

  1. Alibaba Cloud アカウントまたは RAM ユーザーを使用して、Alibaba Cloud 管理コンソールにログインします。

  2. リソースアクセス承認をクリックして、権限付与を完了します。

    説明
    • Alibaba Cloud アカウントにデフォルトロール AliyunLogDefaultRole がない場合、RAM ユーザーが初めてリンクをクリックしたときにロールが作成されます。

    • Simple Log Service は、AliyunLogDefaultRole ロールを偽装して、他のクラウドプロダクト内のご利用のリソースにアクセスします。

    • デフォルトロール AliyunLogDefaultRole のアクセスポリシーの詳細については、「AliyunLogDefaultRole」をご参照ください。

次のステップ

デフォルトでは、AliyunLogDefaultRole ロールには、Alibaba Cloud アカウント内のすべての Logstore からログデータを読み取る権限があります。

MaxCompute データ転送ジョブを作成する際は、[Simple Log Service への読み取り権限] パラメーターを [デフォルトロール] に設定します。詳細については、「MaxCompute データ転送ジョブの作成(新バージョン)」をご参照ください。 ロール識別子

カスタムロールにログデータを読み取る権限を付与する

操作手順

RAM ロールに Logstore からログデータを読み取る権限を付与した後、その RAM ロールを MaxCompute データ転送ジョブに割り当てて、ジョブが Logstore からログデータを読み取れるようにすることができます。

  1. Alibaba Cloud アカウント (root ユーザー) または Resource Access Management (RAM) ユーザーを使用して、Alibaba Cloud 管理コンソールにログインします。

  2. Alibaba Cloud サービスによって偽装される RAM ロールを作成します。詳細については、「信頼できる Alibaba Cloud サービス用の RAM ロールの作成」をご参照ください。

    重要
    • RAM ロールを作成するときは、[プリンシパルタイプ][クラウドサービス]に、[プリンシパル名][Simple Log Service] に設定します。

    • RAM ロールの信頼ポリシーを確認します。Service 要素に少なくとも "log.aliyuncs.com" が含まれていることを確認してください。

      {
        "Statement": [
          {
            "Action": "sts:AssumeRole",
            "Effect": "Allow",
            "Principal": {
              "Service": [
                "log.aliyuncs.com"
              ]
            }
          }
        ],
        "Version": "1"
      }
  3. Logstore からデータを読み取る権限を付与するカスタムポリシーを作成します。

    権限付与に完全に一致またはあいまい一致を使用するポリシードキュメントを選択します。

    権限付与の完全に一致

    [ポリシーの作成] ページで、[JSON] タブをクリックします。エディター内の既存の内容を、以下のスクリプトに置き換えます。詳細については、「カスタムポリシーの作成」をご参照ください。

    重要

    ビジネス要件に基づいて、ポリシードキュメント内の Project nameLogstore name を置き換えてください。

    {
        "Version":"1",
        "Statement":[
            {
                "Action":[
                    "log:GetCursorOrData",
                    "log:ListShards"
                ],
                "Resource":[
                    "acs:log:*:*:project/Project name/logstore/Logstore name"
                ],
                "Effect":"Allow"
            }
        ]
    }

    権限付与のあいまい一致

    [ポリシーの作成] ページで、[JSON] タブをクリックします。エディター内の既存のコンテンツを次のスクリプトに置き換えます。詳細については、「カスタムポリシーを作成する」をご参照ください。

    重要
    • この例では、プロジェクト名は log-project-dev-a、log-project-dev-b、log-project-dev-c であり、Logstore 名は website_a_log、website_b_log、website_c_log です。

    • ビジネス要件に基づいて、ポリシードキュメント内の log-project-dev-*website_*_log* を置き換えてください。

    {
        "Version":"1",
        "Statement":[
            {
                "Action":[
                    "log:GetCursorOrData",
                    "log:ListShards"
                ],
                "Resource":[
                    "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log*"
                ],
                "Effect":"Allow"
            }
        ]
    }
  4. 作成したカスタムポリシーを RAM ロールにアタッチします。詳細については、「RAM ロールの権限の管理」をご参照ください。

次のステップ

RAM ロールが Logstore からログデータを読み取ることを承認した後、その RAM ロールを MaxCompute データ転送ジョブに割り当てて、ジョブが Logstore からログデータを読み取れるようにすることができます。 MaxCompute データ転送ジョブを作成するときは、[Read Permissions On Simple Log Service] パラメーターを [Custom Role] に設定します。 詳細については、「MaxCompute データ転送ジョブの作成 (新しいバージョン)」をご参照ください。

image