信頼できるエンティティがAlibaba Cloud サービスであるResource Access Management(RAM)ロールは、Alibaba Cloudでのサービス間のアクセスを承認するために使用されます。このトピックでは、信頼できるエンティティがAlibaba Cloud サービスであるRAMロールを作成し、Simple Log Serviceにアクセスするための権限をRAMロールに付与する方法について説明します。
ステップ1:RAMロールを作成する
プリンシパルタイプが [クラウドサービス] で、プリンシパル名が [simple Log Service] であるRAMロールを作成します。
管理者権限を持つRAMユーザーとして、RAMコンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、[ロールの作成] をクリックします。
[ロールの作成] ページで、[プリンシパルタイプ] を [クラウドサービス] に設定し、プリンシパル名パラメーターにAlibaba Cloud サービスを選択して、[OK] をクリックします。
説明[プリンシパル名] パラメーターに使用できるAlibaba Cloud サービスは、RAMコンソールによって異なります。
ステップ2:RAMロールに権限を付与する
RAMロールの作成後、RAMロールには権限がありません。RAMロールに権限を付与できます。RAMは、Simple Log Serviceに対して次のシステムポリシーを提供します。最小権限の原則に基づいて、必要な権限のみをRAMロールに付与することをお勧めします。
AliyunLogFullAccess:このポリシーは、すべてのSimple Log Serviceリソースを管理するための権限を付与します。
AliyunLogReadOnlyAccess:このポリシーは、すべてのSimple Log Serviceリソースに対する読み取り専用権限を付与します。
システムポリシーがビジネス要件を満たしていない場合は、カスタムポリシーを作成してきめ細かいアクセス制御を実装できます。詳細については、「カスタムポリシーを作成する」をご参照ください。サンプルポリシーの詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する例」および「概要」をご参照ください。
RAM管理者として RAMコンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ロール] ページで、管理するRAMロールを見つけ、[権限の付与][アクション] 列の をクリックします。
複数のRAMロールを選択し、RAMロールリストの下部にある [権限の付与] をクリックして、複数のRAMロールに一度に権限を付与することもできます。
[権限の付与] パネルで、必要なポリシーを選択し、[権限の付与] をクリックします。この例では、AliyunLogReadOnlyAccessポリシーが選択されています。
[閉じる] をクリックします。