すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:Log Service の RAM アクセス制御

最終更新日:Jun 05, 2026

Resource Access Management (RAM) を使用して、ユーザーごとに異なる Simple Log Service (SLS) の権限を付与します。このトピックでは、各 SLS 機能に必要な権限を一覧で示します。

説明

RAM ユーザー: Alibaba Cloud アカウントの所有者に、必要なポリシーの付与を依頼してください。RAM ユーザーへの権限付与

システムポリシー

SLS には、以下のシステムポリシーがあります。これらは Alibaba Cloud が維持しており、お客様は変更できません。

  • AliyunLogFullAccess : SLS へのフルアクセスを付与します。

  • AliyunLogReadOnlyAccess : SLS への読み取り専用アクセスを付与します。

カスタムポリシー

システムポリシーよりもきめ細かなアクセス制御を行うには、カスタムポリシーの作成をご参照ください。

Simple Log Service (SLS) は、カスタムポリシーの作成を簡素化する権限アシスタントを提供します。

権限アシスタントを使用したポリシーの取得

  1. Simple Log Service コンソールにログインし、プロジェクト一覧から対象のプロジェクトをクリックします。

  2. 左側のナビゲーションペインで、[その他] > アクセス許可アシスタント を選択します。

  3. アクセス許可アシスタント ページで、次のパラメーターを設定し、次へ をクリックします。

    • [プロジェクト]:SLS のすべての機能モジュールの権限が含まれます。

      パラメーター

      説明

      シナリオの選択

      プリセットシナリオを選択するか、特定のモジュールを選択してカスタマイズします。

      各モジュールは、管理権限または読み取り専用権限に対応しています。

      リソース

      権限を適用するリソースを指定します。プロジェクト名と Logstore 名には、ワイルドカードとしてアスタリスク (*) を使用します。例:

      • すべての SLS リソースへのアクセス:

        "Action": "log:*",
        "Resource": "*",
      • project01 プロジェクトのみへのアクセス:

        • acs:log:*:*:project/project01
        • acs:log:*:*:project/project01/*
      • project01 の logstore01 Logstore のみへのアクセス:

        • acs:log:*:*:project/project01/logstore/logstore01
        • acs:log:*:*:project/project01/logstore/logstore01/*

      条件

      ポリシー要素に基づいて条件を設定します。

    • アプリケーション:コストマネージャー、ログ監査サービス、K8s イベントセンターの権限が含まれます。

      パラメーター

      説明

      アプリケーション

      アプリケーションを選択し、それぞれを [許可] または [拒否] に設定します。

      シナリオの選択

      アプリケーションの権限を 許可 に設定すると、関連するモジュールが自動的に選択されます。選択内容はカスタマイズできます。

      各モジュールは、管理権限または読み取り専用権限に対応しています。

      リソース

      リソースはアプリケーションに基づいて自動的に選択され、変更することはできません。

      条件

      ポリシー要素に基づいて条件を設定します。

  4. ポリシーをプレビューおよびコピーし、それを使用して カスタムポリシーを作成します。

次の表に、SLS の操作と必要な権限を示します。

操作タイプ

Actions

説明

読み取り

log:GetAlert

アラートルールを取得します。

読み取り

log:GetAppliedConfigs

適用済みの Logtail 設定を取得します。

読み取り

log:GetAppliedMachineGroups

Logtail 設定に関連付けられているマシングループを取得します。

読み取り

log:GetConfig

Logtail 設定を取得します。

読み取り

log:GetCursorOrData

時刻を指定してカーソルを取得します。

読み取り

log:GetDashboard

ダッシュボードを取得します。

読み取り

log:GetETL

データ変換ジョブを取得します。

読み取り

log:GetIndex

インデックスを取得します。

読み取り

log:GetLogging

サービスログ設定を取得します。

読み取り

log:GetLogStore

Logstore を取得します。

読み取り

log:GetLogStoreLogs

Logstore の監視ログを取得します。

読み取り

log:GetLogStoreMeteringMode

Logstore の課金モードを取得します。

読み取り

log:GetLogtailPipelineConfig

Logtail パイプライン設定を取得します。

読み取り

log:GetMachineGroup

マシングループを取得します。

読み取り

log:GetProject

プロジェクトを取得します。

読み取り

log:GetProjectPolicy

プロジェクトポリシーを取得します。

読み取り

log:GetSavedSearch

保存された検索を取得します。

読み取り

log:GetScheduledSQL

スケジュールされた SQL ジョブを取得します。

読み取り

log:GetStoreView

データセットを取得します。

読み取り

log:GetStoreViewIndex

データセットのインデックス設定を取得します。

リスト

log:ListConsumerGroup

コンシューマーグループをリストします。

リスト

log:ListDomains

カスタムドメイン名をリストします。

リスト

log:ListLogStores

Logstore をリストします。

リスト

log:ListMachineGroup

プロジェクト内のマシングループをリストします。

リスト

log:ListMachines

マシングループ内のマシンをリストします。

リスト

log:ListProject

プロジェクトをリストします。

リスト

log:ListSavedSearch

保存された検索をリストします。

リスト

log:ListShards

シャードをリストします。

リスト

log:ListTagResources

リソースに付与されたタグをリストします。

リスト

log:ListProjectsInRecycleBin

ごみ箱内のプロジェクトをリストします。

書き込み

log:PutProjectTransferAcceleration

プロジェクトの転送アクセラレーションを設定します。

書き込み

log:ChangeResourceGroup

リソースのリソースグループを変更します。

書き込み

log:ConsumerGroupHeartBeat

コンシューマーグループにハートビートを送信します。

書き込み

log:ConsumerGroupUpdateCheckPoint

消費チェックポイントを更新します。

書き込み

log:CreateConfig

Logtail 設定を作成します。

書き込み

log:CreateConsumerGroup

コンシューマーグループを作成します。

書き込み

log:CreateDashboard

ダッシュボードを作成します。

書き込み

log:CreateDomain

カスタムドメイン名を作成します。

書き込み

log:CreateIndex

インデックスを作成します。

書き込み

log:CreateLogging

サービスログを作成します。

書き込み

log:CreateLogStore

Logstore を作成します。

書き込み

log:CreateLogtailPipelineConfig

Logtail パイプライン設定を作成します。

書き込み

log:CreateMachineGroup

マシングループを作成します。

書き込み

log:CreateMetricStore

Metricstore を作成します。

書き込み

log:CreateProject

プロジェクトを作成します。

書き込み

log:CreateSavedSearch

保存された検索を作成します。

書き込み

log:CreateScheduledSQL

スケジュールされた SQL ジョブを作成します。

書き込み

log:CreateSqlInstance

専用 SQL インスタンスを作成します。

書き込み

log:CreateStoreView

データセットを作成します。

書き込み

log:DeleteAlert

アラートルールを削除します。

書き込み

log:DeleteConfig

Logtail 設定を削除します。

書き込み

log:DeleteConsumerGroup

コンシューマーグループを削除します。

書き込み

log:DeleteDashboard

ダッシュボードを削除します。

書き込み

log:DeleteDomain

カスタムドメイン名を削除します。

書き込み

log:DeleteIndex

インデックスを削除します。

書き込み

log:DeleteLogStore

Logstore を削除します。

書き込み

log:DeleteMachineGroup

マシングループを削除します。

書き込み

log:DeleteProject

プロジェクトを削除します。

書き込み

log:DeleteProjectPolicy

プロジェクトポリシーを削除します。

書き込み

log:DeleteSavedSearch

保存された検索を削除します。

書き込み

log:DeleteScheduledSQL

スケジュールされた SQL ジョブを削除します。

書き込み

log:DeleteStoreView

データセットを削除します。

書き込み

log:DisableAlert

アラートルールを無効にします。

書き込み

log:DisableScheduledSQL

スケジュールされた SQL ジョブを無効にします。

書き込み

log:EnableAlert

アラートルールを有効にします。

書き込み

log:EnableScheduledSQL

スケジュールされた SQL ジョブを有効にします。

Write

log:GetSqlInstance

Gets a dedicated SQL instance.

Write

log:ListScheduledSQLs

Lists scheduled SQL jobs.

書き込み

log:MergeShard

シャードをマージします。

書き込み

log:PostLogStoreLogs

Logstore にログを書き込みます。

書き込み

log:PutProjectPolicy

プロジェクトポリシーを作成または更新します。

書き込み

log:SplitShard

シャードを分割します。

書き込み

log:TagResources

リソースにタグを追加します。

書き込み

log:UntagResources

リソースからタグを削除します。

書き込み

log:UpdateConfig

Logtail 設定を更新します。

書き込み

log:UpdateConsumerGroup

コンシューマーグループを更新します。

書き込み

log:UpdateDashboard

ダッシュボードを更新します。

書き込み

log:UpdateIndex

インデックスを更新します。

書き込み

log:UpdateLogging

サービスログ設定を更新します。

書き込み

log:UpdateLogStore

Logstore を更新します。

書き込み

log:UpdateLogStoreMeteringMode

Logstore の課金モードを更新します。

書き込み

log:UpdateLogtailPipelineConfig

Logtail パイプライン設定を更新します。

書き込み

log:UpdateMachineGroup

マシングループを更新します。

書き込み

log:UpdateMachineGroupMachine

マシングループ内のマシン一覧を更新します。

書き込み

log:UpdateProject

プロジェクトを更新します。

書き込み

log:UpdateSavedSearch

保存された検索を更新します。

書き込み

log:UpdateScheduledSQL

スケジュールされた SQL ジョブを更新します。

書き込み

log:UpdateSqlInstance

専用 SQL インスタンスを更新します。

書き込み

log:UpdateStoreView

データセットを更新します。

リスト

log:ListConfig

Logtail 設定をリストします。

リスト

log:ListDashboard

ダッシュボードをリストします。

リスト

log:ListDownloadJobs

ログダウンロードジョブをリストします。

リスト

log:ListETLs

データ変換ジョブをリストします。

リスト

log:ListOSSExports

OSS データシッピングジョブをリストします。

リスト

log:ListOSSHDFSExports

OSS-HDFS シッピングタスクをリストします。

リスト

log:ListOSSIngestions

OSS インポートタスクをリストします。

リスト

log:ListStoreViews

データセットをリストします。

カスタムポリシーのシナリオと例

プロジェクトリストの表示

RAM ユーザーに次の許可を付与してください。

  • プロジェクトリストの表示

この許可は、次のポリシーによって付与されます。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": [
        "acs:log:*:*:project/*"
      ],
      "Effect": "Allow"
    }
  ]
}

プロジェクトの読み取り専用権限

RAM ユーザーに次の権限を付与します。

  • プロジェクトリストの表示

  • 特定のプロジェクトへの読み取り専用アクセス

説明

プロジェクトの読み取り専用権限だけでは、ログへのアクセスは含まれません。プロジェクトのログストアに対する読み取り専用権限も付与する必要があります。

次のポリシーはこれらの権限を付与します。

{
   "Version": "1",
   "Statement": [
     {
       "Action": ["log:ListProject"],
       "Resource": ["acs:log:*:*:project/*"],
       "Effect": "Allow"
      },
     {
       "Action": [
         "log:Get*",
         "log:List*"
       ],
       "Resource": "acs:log:*:*:project/<your-project-name>/*",
       "Effect": "Allow"
     }
   ]
 }

Logstore と保存された検索の権限

RAM ユーザーに次の権限を付与します。

  • プロジェクトリストを表示する権限。

  • 指定された Logstore の読み取り専用権限、および保存された検索を作成および表示する権限。

次のポリシー例は、これらの権限を付与します。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<your-project-name>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/logstore/<your-logstore-name>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/dashboard",
        "acs:log:*:*:project/<your-project-name>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Create*"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/savedsearch",
        "acs:log:*:*:project/<your-project-name>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

特定の Logstore、保存済み検索、ダッシュボードへの読み取り専用アクセス

RAM ユーザーに次の権限を付与します:

  • すべてのプロジェクトのリストの表示。

  • プロジェクト内のすべての Logstore の一覧表示、特定の Logstore への読み取り専用アクセス、および同一プロジェクト内のすべての保存済み検索とダッシュボードの表示。

次のポリシーは、これらの権限を付与します:

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<your-project-name>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/logstore/<your-logstore-name>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/dashboard",
        "acs:log:*:*:project/<your-project-name>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/savedsearch",
        "acs:log:*:*:project/<your-project-name>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

プロジェクトの書き込み権限

RAM ユーザーに、指定したプロジェクトへの書き込みアクセスを付与します。クエリやその他の権限は含まれません。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
      "Resource": "acs:log:*:*:project/<your-project-name>/*",
      "Effect": "Allow"
    }
  ]
}

Logstore の書き込み権限

RAM ユーザーに、指定した Logstore への書き込みアクセスを付与します。クエリやその他の権限は含まれません。

{
  "Version":"1",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "log:PostLogStoreLogs"
      ],
      "Resource":[
        "acs:log:*:*:project/<your-project-name>/logstore/<your-logstore-name>"
      ]
    }
  ]
}

プロジェクトの消費権限

RAM ユーザーに、指定したプロジェクトへのデータ消費アクセスを付与します。書き込み権限やクエリ権限は含まれません。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": "acs:log:*:*:project/<your-project-name>/*",
      "Effect": "Allow"
    }
  ]
}

Logstore の消費権限

RAM ユーザーに、指定した Logstore へのデータ消費アクセスを付与します。書き込み権限やクエリ権限は含まれません。

{
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/logstore/<your-logstore-name>",
        "acs:log:*:*:project/<your-project-name>/logstore/<your-logstore-name>/*"
      ],
      "Effect": "Allow"
    }
  ]
}

Logstore の暗号化要件

Logstore を作成または更新する際に、RAM ユーザーが暗号化設定を指定する必要があります。

説明

プロジェクト名と Logstore 名を正確に指定するか、ワイルドカードとしてアスタリスク (*) を使用することができます。

{
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateLogStore",
        "log:UpdateLogStore"
      ],
      "Resource": [
        "acs:log:*:*:project/<your-project-name>/logstore/<your-logstore-name>",
        "acs:log:*:*:project/<your-project-name>/logstore/*"
      ],
      "Condition": {
        "Bool": {
          "log:Encrypted": "true"
        }
      }
    }
  ]
}

ログアプリケーションのアクセス許可

次のログアプリケーションまたは機能を使用するには、以下のアクセス許可を付与してください。

  • データベース監査

  • モバイル O&M モニタリング

  • フローログセンター

  • AWS CloudTrail のログ分析

  • SREWorks

  • 一般ホスト監査

  • インテリジェントアノマリー分析

  • カスタムダッシュボード

  • ダッシュボードプレイリスト

次のポリシーは、ログアプリケーションのアクセス許可を定義します。

  • 読み取り専用アクセス許可

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "log:GetResource",
                    "log:ListResources",
                    "log:GetResourceRecord",
                    "log:ListResourceRecords"
                ],
                "Resource": [
                    "acs:log:*:*:resource/*"
                ]
            }
        ]
    }
  • 管理権限

    {
        "Version": "1",
        "Statement": [
              {
          "Effect": "Allow",
          "Action": [
            "log:*"
          ],
          "Resource": [
            "acs:log:*:*:resource/*"
          ]
        }
        ]
    }