RAM ユーザーを使用してデータを処理する場合は、必要なアクセスポリシーを RAM ユーザーに付与します。このトピックでは、権限付与の手順について説明します。
操作手順
-
ご利用の Alibaba Cloud アカウント (root ユーザー) または管理者権限を持つ RAM ユーザーを使用して、RAM コンソールにログインします。
-
カスタムポリシーを作成します。「ポリシーの作成」ページの [JSON] タブで、コードエディタ内の既存のスクリプトを次のポリシードキュメントに置き換えます。詳細については、「JSON タブでカスタムポリシーを作成する」をご参照ください。
重要以下の内容の
ProjectNameとLogstoreNameを、データ処理に使用する Simple Log Service プロジェクトと Logstore の名前に置き換えます。プロジェクト名とLogstore名の表示方法の詳細については、「プロジェクトの管理」と「Logstoreの管理」をご参照ください。読み取り専用権限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetIngestProcessor", "log:ListIngestProcessors" ], "Resource": "acs:log:*:*:project/ProjectName/ingestprocessor/*" }, { "Effect": "Allow", "Action": [ "log:GetLogStore" ], "Resource": "acs:log:*:*:project/ProjectName/logstore/LogstoreName" } ] }読み取り/書き込み権限
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:PutIngestProcessor", "log:GetIngestProcessor", "log:ListIngestProcessors", "log:DeleteIngestProcessor" ], "Resource": "acs:log:*:*:project/ProjectName/ingestprocessor/*" }, { "Effect": "Allow", "Action": [ "log:UpdateLogStoreProcessor" ], "Resource": [ "acs:log:*:*:project/ProjectName/logstore/LogstoreName" ] }, { "Effect": "Allow", "Action": [ "log:UpdateMetricStoreProcessor" ], "Resource": [ "acs:log:*:*:project/ProjectName/metricstore/MetricStoreName" ] } ] } -
作成したカスタムポリシーを RAM ユーザーにアタッチします。詳細については、「RAMユーザーへの権限付与」をご参照ください。
参考文献
このトピックでは、カスタム権限ポリシーの作成と使用の手順について説明します。カスタム権限ポリシーを使用すると、きめ細かなアクセス制御を実装できますが、その内容を維持および管理する必要があります。RAM ID にシステムポリシーを付与することもできます。これにより、ポリシー内容の維持および管理が不要になり、権限付与の簡素化につながります。ただし、システムポリシーはより広範な権限を付与するため、セキュリティリスクをもたらす可能性があります。Simple Log Service でサポートされているシステムポリシーの詳細については、「Simple Log Service のシステムポリシー」をご参照ください。