このトピックでは、Resource Access Management (RAM) ユーザーにデータ変換ジョブを管理するための権限を付与する方法について説明します。
前提条件
背景情報
Alibaba Cloud アカウントを使用して、RAM ユーザーにデータ変換ジョブを管理するための権限を付与できます。
データ変換ジョブを作成、削除、および変更できます。
ソースログストアからデータを読み取り、データ変換ジョブの結果をプレビューできます。
次のいずれかの方法で、RAM ユーザーに Simple Log Service のデータを変換する権限を付与できます。
システムポリシーを追加する: Simple Log Service のすべての権限を RAM ユーザーに付与できます。システムポリシーは変更できません。パラメータを設定する必要はありません。
カスタムポリシーを追加する: カスタムポリシーを作成し、そのポリシーを RAM ユーザーにアタッチできます。この方法では、きめ細かいアクセスコントロールを実行できますが、複雑な構成が必要になります。
システムポリシーを追加する
Alibaba Cloud アカウントまたは管理権限を持つ RAM ユーザーを使用して、[RAM コンソール] にログオンします。
システムポリシー
AliyunLogFullAccessとAliyunRAMFullAccessを RAM ユーザーに追加します。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。
カスタムポリシーを追加する
Alibaba Cloud アカウントまたは管理権限を持つ RAM ユーザーを使用して、[RAM コンソール] にログオンします。
カスタムポリシーを作成します。[JSON] タブの [ポリシーの作成] ページで、コードエディタの既存のスクリプトを次のポリシードキュメントに置き換えます。詳細については、「JSON タブでカスタムポリシーを作成する」をご参照ください。
重要ポリシードキュメントの
Project nameとLogstore nameをビジネス要件に基づいて置き換えます。{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project name/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project name/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project name/logstore/Logstore name" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project name/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project name/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project name/job/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }作成したカスタムポリシーを RAM ユーザーにアタッチします。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。