すべてのプロダクト
Search

このプロダクト

    Simple Log Service:RAMユーザーにLog Audit Serviceで操作を実行する権限を付与する

    ドキュメントセンター

    Simple Log Service:RAMユーザーにLog Audit Serviceで操作を実行する権限を付与する

    最終更新日:Aug 30, 2024

    このトピックでは、RAM (Resource Access Management) ユーザーにLog Audit Serviceで操作を実行する権限を付与する方法について説明します。

    前提条件

    RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。

    背景情報

    次のいずれかのモードでLog Audit Serviceで操作を実行する権限をRAMユーザーに付与できます。

    • シンプルモード: Simple Log Serviceのすべての権限をRAMユーザーに付与できます。 パラメーターを設定する必要はありません。

    • カスタムモード: カスタムポリシーを作成し、RAMユーザーにポリシーをアタッチできます。 このモードでは、きめ細かいアクセス制御を実行できます。 しかし、このモードの構成は複雑である。

    シンプルモード

    Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。 次に、AliyunLogFullAccessおよびAliyunRAMFullAccessポリシーをRAMユーザーにアタッチします。 これにより、RAMユーザーはSimple Log Serviceに対するすべての権限を持ちます。 詳細については、「RAMユーザーへの権限付与」をご参照ください。

    カスタムモード

    1. RAMコンソールにログインします。

    2. ポリシーを作成します。

      1. 左側のナビゲーションウィンドウで、[権限] > [] [ポリシー] を選択します。

      2. [ポリシー] ページで [ポリシーの作成] をクリックします。

      3. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のいずれかのスクリプトに置き換え、[次へ] をクリックしてポリシー情報を編集します。

        RAMユーザーに、Log Audit Serviceの読み取り専用権限または読み取りおよび書き込み権限を付与できます。

        • 読み取り専用権限: 次のスクリプトを使用して、RAMユーザーにLog Audit Serviceの各ページの表示のみを許可します。

          {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

        • 読み取りおよび書き込み権限: 次のスクリプトを使用して、Log Audit Serviceでサポートされているすべての操作をRAMユーザーに実行させる権限を付与します。 たとえば、RAMユーザーにグローバル設定の変更を許可できます。

          {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetApp",
                "log:CreateApp"
            ],
            "Resource": [
                "acs:log:*:*:app/audit"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:Get*",
                "log:List*",
                "log:CreateJob",
                "log:UpdateJob",
                "log:CreateProject"
            ],
            "Resource": [
                "acs:log:*:*:project/slsaudit-*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "log:GetProductDataCollection",
                "log:OpenProductDataCollection"
            ],
            "Resource": "acs:config:*:*:*"
        }
    ]
}

      4. [名前] パラメーターを設定し、[OK] をクリックします。

        この例では、ポリシー名をlog-slsaudit-policyに設定します。

    3. RAM ユーザーにポリシーをアタッチします。

      1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

      2. [ユーザー] ページで、ポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

      3. [権限付与] パネルの [ポリシー] セクションで、[カスタムポリシー] を選択します。 次に、手順2で作成したポリシーを選択し、[権限の付与] をクリックします。

      4. ポリシーがRAMユーザーにアタッチされていることを確認し、[閉じる] をクリックします。