Resource Access Management (RAM) ユーザーを使用して新しいバージョンのログ監査サービスで操作を実行する場合は、必要な権限を RAM ユーザーに付与する必要があります。
手順
Alibaba Cloud アカウント、または管理権限を持つ RAM ユーザーを使用して、[RAM コンソール] にログオンします。
カスタムポリシーを作成します。[JSON] タブで、エディターの既存の内容を次のスクリプトに置き換えます。詳細については、「スクリプト編集モードでカスタムポリシーを作成する」をご参照ください。
読み取り専用権限
{ "Statement": [ { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:ListTagResources", "log:ListMachineGroup", "log:GetAppliedMachineGroups", "log:GetLogtailPipelineConfig", "log:ListConfig", "log:ListMachines", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/machinegroup/*", "acs:log:*:*:project/*/logtailconfig/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": [ "log:ListCollectionPolicies", "log:GetCollectionPolicy" ], "Resource": "acs:log::*:collectionpolicy/*", "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }読み取り/書き込み権限
{ "Statement": [ { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:CreateProject", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:ListLogStores", "log:GetLogStore", "log:GetLogStoreLogs", "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard", "log:UpdateLogStore", "log:GetProjectLogs", "log:ListTagResources", "log:TagResources", "log:ListMachineGroup", "log:ListMachines", "log:ApplyConfigToGroup", "log:GetAppliedMachineGroups", "log:ListConfig", "log:CreateLogtailPipelineConfig", "log:UpdateLogtailPipelineConfig", "log:GetLogtailPipelineConfig", "log:DeleteLogtailPipelineConfig" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/machinegroup/*", "acs:log:*:*:project/*/logtailconfig/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": [ "log:ListCollectionPolicies", "log:GetCollectionPolicy", "log:UpsertCollectionPolicy", "log:DeleteCollectionPolicy" ], "Resource": "acs:log::*:collectionpolicy/*", "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }作成したカスタムポリシーを RAM ユーザーに追加します。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
関連情報
ログ監査サービスでルールを作成すると、ログ監査サービスは現在のアカウント内に AliyunServiceRoleForSLSAudit サービスロールを自動的に作成します。アカウントでリソースディレクトリが有効になっている場合、ログ監査サービスはリソースディレクトリの各メンバー内にもロールを作成します。ログ監査サービスはこのロールを引き受けて、他のクラウドサービスからデータを読み取ることができます。詳細については、「AliyunServiceRoleForSLSAudit サービスロールを管理する」をご参照ください。