このトピックでは、CloudLens for CLBの操作権限をResource Access Management (RAM) ユーザーに付与する方法について説明します。
前提条件
RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
背景情報
次のいずれかの方法で、CloudLens for CLBの操作権限をRAMユーザーに付与できます。
システムポリシー: 権限スコープが大きい。 システムポリシーの内容を変更することはできませんが、設定手順は簡単です。
カスタムポリシー: 権限の範囲がより細かくなります。 カスタムポリシーの内容は変更できますが、設定手順はシステムポリシーの設定手順よりも複雑です。
システムポリシー
にログインします。RAMコンソールAlibaba Cloudアカウントを使用するか、RAM管理者として使用します。
RAMユーザーに読み取り専用権限
AliyunLogReadOnlyAccessまたは管理権限AliyunLogFullAccessをSimple Log Serviceで付与します。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
カスタムポリシー
にログインします。RAMコンソールAlibaba Cloudアカウントを使用するか、RAM管理者として使用します。
カスタムポリシーを作成します。
CloudLens for CLBの読み取り専用権限または読み取りおよび書き込み権限をRAMユーザーに付与できます。
読み取り権限
RAMユーザーは、CloudLens for CLBのページのみを表示できます。
[ポリシーの作成] ページで、[JSON] タブをクリックします。 エディターの既存の内容を次のスクリプトに置き換えます。詳細については、「」をご参照ください。[JSON] タブでカスタムポリシーを作成する.
{ "Statement": [ { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": "log:GetProductDataCollection", "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:slb:*:*:loadbalancer/*" ], "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }読み書き権限
RAMユーザーは、CloudLens for CLBでサポートされているすべての操作を実行できます。
[ポリシーの作成] ページで、[JSON] タブをクリックします。 エディターの既存の内容を次のスクリプトに置き換えます。詳細については、「」をご参照ください。[JSON] タブでカスタムポリシーを作成する.
{ "Statement": [ { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:ListLogStores", "log:GetLogStore", "log:GetLogStoreLogs", "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard", "log:UpdateLogStore", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": [ "log:GetProductDataCollection", "log:OpenProductDataCollection", "log:CloseProductDataCollection" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:slb:*:*:loadbalancer/*" ], "Effect": "Allow" }, { "Action": [ "log:SetGeneralDataAccessConfig" ], "Resource": [ "acs:log:*:*:resource/sls.general_data_access.slb.global_conf.standard_channel/record" ], "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com" } } }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }作成したカスタムポリシーをRAMユーザーに追加します。 詳細については、「」をご参照ください。RAMユーザーに権限を付与する.