すべてのプロダクト
Search

このプロダクト

    Simple Log Service:RAMロールを許可して、ログストアからログデータを読み取る

    ドキュメントセンター

    Simple Log Service:RAMロールを許可して、ログストアからログデータを読み取る

    最終更新日:Jan 23, 2025

    Simple log ServiceのログストアからMaxComputeにログデータを送信する場合、デフォルトのロールまたはカスタムロールを使用して、ログストアからログデータを読み取る必要があります。 このトピックでは、Simple log Serviceログストアからログデータを読み取るために、デフォルトロールまたはカスタムロールを許可する方法について説明します。

    デフォルトのロールを許可してログデータを読み取る

    手順

    1. Alibaba CloudアカウントまたはRAM (Resource Access Management) ユーザーを使用して、Alibaba Cloud管理コンソールにログインします。

    2. [クラウドリソースアクセス権限付与] をクリックして権限付与を完了します。

      説明

      Alibaba CloudアカウントにAliyunLogDefaultRoleのデフォルトロールがない場合、ログイン後に初めてリンクをクリックしたときにロールが作成されます。 Simple Log Serviceは、他のクラウドサービスのリソースにアクセスするためにAliyunLogDefaultRoleのデフォルトロールを引き受けます。 AliyunLogDefaultRoleデフォルトロールの権限の詳細については、「AliyunLogDefaultRole」をご参照ください。

    次に何をすべきか

    デフォルトでは、AliyunLogDefaultRoleロールには、Alibaba Cloudアカウント内のすべてのログストアからログデータを読み取る権限があります。

    MaxComputeデータシッピングジョブを作成するときは、[Simple Log Serviceの読み取り権限] パラメーターを [デフォルトのロール] に設定します。 詳細については、「MaxComputeにデータを送信するための新しいバージョンのデータ送信ジョブの作成」をご参照ください。 角色标识

    カスタムロールを許可してログデータを読み取る

    手順

    RAMロールにログストアからログデータを読み取る権限を付与した後、そのRAMロールをMaxComputeデータ配布ジョブに割り当てて、ジョブがログストアからログデータを読み取ることを許可できます。

    1. Alibaba CloudアカウントまたはRAM (Resource Access Management) ユーザーを使用して、Alibaba Cloud管理コンソールにログインします。

    2. Alibaba Cloudサービスが引き受けるRAMロールを作成します。 詳細については、「」をご参照ください。信頼できるAlibaba CloudサービスのRAMロールの作成.

      重要

      • RAMロールを作成するときは、[信頼できるエンティティの選択] パラメーターを [Alibaba Cloud Service] に設定し、[信頼できるサービスの選択] パラメーターを [Log Service] に設定する必要があります。

      • RAMロールの信頼ポリシーを確認します。 Service要素に少なくとも "log.aliyuncs.com" が含まれていることを確認します。 

        {
  "Statement": [
    {
      "Action": "sts:AssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": [
          "log.aliyuncs.com"
        ]
      }
    }
  ],
  "Version": "1"
}

    3. Logstoreからデータを読み取る権限を付与するカスタムポリシーを作成します。

      権限付与に完全一致またはファジー一致を使用するポリシードキュメントを使用できます。

      認証の完全一致

      [ポリシーの作成] ページで、[JSON] タブをクリックします。 エディターの既存の内容を次のスクリプトに置き換えます。 詳細については、「JSONタブでカスタムポリシーを作成する」をご参照ください。

      重要

      交換プロジェクト名ログストア名ビジネス要件に基づいてポリシードキュメントで 

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:GetCursorOrData",
                "log:ListShards"
            ],
            "Resource":[
                "acs:log:*:*:project/Project name/logstore/Logstore name"
            ],
            "Effect":"Allow"
        }
    ]
}

      承認のためのファジーマッチ

      [ポリシーの作成] ページで、[JSON] タブをクリックします。 エディターの既存の内容を次のスクリプトに置き換えます。 詳細については、「JSONタブでカスタムポリシーを作成する」をご参照ください。

      重要

      • この例では、プロジェクトの名前はlog-project-dev-a、log-project-dev-b、およびlog-project-dev-cであり、Logstoreの名前はwebsite_a_log、website_b_log、およびwebsite_c_logです。

      • 交換log-project-dev-*ウェブサイト_*_log *ビジネス要件に基づいてポリシードキュメントで 

      {
    "Version":"1",
    "Statement":[
        {
            "Action":[
                "log:GetCursorOrData",
                "log:ListShards"
            ],
            "Resource":[
                "acs:log:*:*:project/log-project-dev-*/logstore/website_*_log*"
            ],
            "Effect":"Allow"
        }
    ]
}

    4. 作成したカスタムポリシーをRAMロールにアタッチします。 詳細については、「」をご参照ください。RAMロールに権限を付与する.

    次に何をすべきか

    RAMロールにログストアからログデータを読み取る権限を付与した後、そのRAMロールをMaxComputeデータ配布ジョブに割り当てて、ジョブがログストアからログデータを読み取ることを許可できます。 MaxComputeデータシッピングジョブを作成するときは、[Simple Log Serviceの読み取り権限] パラメーターを [カスタムロール] に設定します。 詳細については、「MaxComputeにデータを送信するための新しいバージョンのデータ送信ジョブの作成」をご参照ください。

    image