すべてのプロダクト
Search

このプロダクト

    Simple Log Service:RAM ユーザーへの ActionTrail 権限の付与

    ドキュメントセンター

    Simple Log Service:RAM ユーザーへの ActionTrail 権限の付与

    最終更新日:Jun 19, 2026

    システムポリシーまたはカスタムポリシーをアタッチすることで、RAM ユーザーに ActionTrail を管理する権限を付与できます。

    前提条件

    RAM ユーザーを作成済みであること。詳細については、「RAM ユーザーの作成」をご参照ください。

    背景

    RAM ユーザーに ActionTrail コンソールを管理する権限を付与するには、次の方法があります:

    • システムポリシー:Alibaba Cloud が作成および管理する変更不可能なポリシーです。RAM ユーザーにアタッチまたはデタッチすることのみ可能です。この方法はシンプルです。

    • カスタムポリシー:ユーザーが作成および管理するポリシーです。この方法では、より詳細な制御とセキュリティが可能ですが、設定はより複雑になります。

    システムポリシー

    RAM コンソールにログインし、AliyunLogFullAccess および AliyunRAMFullAccess システムポリシーを RAM ユーザーにアタッチします。これらのポリシーは、完全な管理権限を付与します。詳細については、「RAM ユーザーの権限管理」をご参照ください。

    カスタムポリシー

    1. RAM コンソールにログインします。

    2. ポリシーを作成します。

      1. 左側のナビゲーションペインで、承認管理 > 権限ポリシー を選択します。

      2. ポリシーの作成 をクリックします。

      3. ポリシーの作成 ページの [JSON] タブで、エディターに次のいずれかのポリシーを貼り付けて、既存のスクリプトを置き換えます。次に、[基本情報の編集を続行] をクリックします。

        付与する権限レベルに基づいて、次のいずれかのポリシーを選択します。

        • 読み取り専用権限 (ActionTrail ページを表示できますが、設定の変更はできません。)

          {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

        • 読み取り/書き込み権限 (グローバル設定の変更を含め、ActionTrail のすべての操作を実行できます。)

          {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp",
                "log:CreateApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*",
                "log:CreateJob",
                "log:UpdateJob",
                "log:CreateProject"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection",
                "log:OpenProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

      4. ポリシーの名前を入力し、OKをクリックします。

        たとえば、ポリシー名を log-slsaudit-policy に設定します。

    3. ポリシーを RAM ユーザーにアタッチします。

      1. 左側のナビゲーションペインで、アイデンティティ >  >  > ユーザーを選択します。

      2. 対象の RAM ユーザーを見つけ、権限の追加 をクリックします。

      3. 権限を新規付与する パネルの 権限ポリシー セクションで、ドロップダウンリストから カスタムポリシー を選択します。 次に、ステップ 2 で作成したポリシーを選択し、[OK] をクリックします。