すべてのプロダクト
Search

このプロダクト

    Simple Log Service:RAM アクセス制御の設定

    ドキュメントセンター

    Simple Log Service:RAM アクセス制御の設定

    最終更新日:Nov 09, 2025

    Simple Log Service を使用する場合、ユーザーごとに異なるアクセス権限を設定する必要があります。Alibaba Cloud アカウントは、Resource Access Management (RAM) で権限ポリシーを設定することで、Simple Log Service リソースへのアクセスを管理できます。このトピックでは、さまざまな Simple Log Service 機能に必要な権限の概要を説明します。

    説明

    RAM ユーザーの場合は、必要に応じて Alibaba Cloud アカウントユーザーに権限ポリシーをリクエストしてください。権限付与操作については、「RAM ユーザーへの権限付与」をご参照ください。

    システムポリシー

    システムポリシーは Alibaba Cloud によって作成されます。ポリシーのバージョンは Alibaba Cloud によって維持されます。ユーザーはこれらのポリシーを使用することしかできず、変更することはできません。Simple Log Service のシステムポリシーは次のとおりです。

    • AliyunLogFullAccess: Simple Log Service を管理する権限を付与します。

    • AliyunLogReadOnlyAccess: Simple Log Service に対する読み取り専用権限を付与します。

    カスタムポリシー

    カスタムポリシーはユーザーが管理します。ビジネス要件に基づいて、カスタムポリシーを作成、更新、削除できます。システムポリシーが要件を満たせない場合は、「カスタム権限ポリシーの作成」によって詳細な権限管理を実装できます。

    カスタム権限ポリシーの内容について、Simple Log Service は権限アシスタント機能を提供しており、権限ポリシー設定の取得プロセスを簡素化します。

    権限アシスタントを使用したポリシー設定の取得手順

    1. Simple Log Service コンソールにログインし、プロジェクトリストでターゲットプロジェクトをクリックします。

    2. 左側のナビゲーションウィンドウで、[その他] > [権限アシスタント] を選択します。

    3. [権限アシスタント] ページで、次の設定を完了し、[次へ] をクリックします。

      • 通常プロジェクト: 通常プロジェクトモードには、Simple Log Service のすべての機能モジュールに対する権限の設定が含まれます。

        パラメーター

        説明

        シナリオの選択

        さまざまなシナリオがさまざまな機能モジュールに関連付けられています。ビジネス要件に基づいてシナリオを選択できます。シナリオを選択すると、Simple Log Service はそのシナリオに関連付けられている機能モジュールを自動的に選択します。特定の機能モジュールを選択して、カスタムシナリオを作成することもできます。

        機能モジュールの権限には、管理権限と読み取り専用権限が含まれます。ビジネス要件に基づいて権限を選択できます。

        リソース

        機能モジュールの権限を設定した後、権限を付与するリソースを指定できます。プロジェクト名と Logstore 名にはアスタリスク * を使用できます。例:

        • 次の権限を付与された RAM ユーザーまたは RAM ロールは、Simple Log Service のすべてのリソースを管理できます。

          "Action": "log:*",
"Resource": "*",

        • 次の権限を付与された RAM ユーザーまたは RAM ロールは、project01 のリソースのみを管理できます。

          • acs:log:*:*:project/project01
          • acs:log:*:*:project/project01/*

        • 次の権限を付与された RAM ユーザーまたは RAM ロールは、project01 の logstore01 のリソースのみを管理できます。

          • acs:log:*:*:project/project01/logstore/logstore01
          • acs:log:*:*:project/project01/logstore/logstore01/*

        条件

        ビジネス要件に基づいて権限を付与する条件を指定できます。詳細については、「権限付与ポリシーの基本要素」をご参照ください。

      • APP: APP モードには、コストマネージャー、ログ監査サービス、および K8s イベントセンターの権限設定が含まれます。

        パラメーター

        説明

        APP

        権限を付与するアプリケーションを選択します。アプリケーションに対して許可または拒否の権限を付与できます。

        プリセットロールの選択

        アプリケーションに対して [許可] を選択すると、関連する機能モジュールが自動的に選択されます。選択をカスタマイズすることもできます。

        機能モジュールの権限には、管理権限と読み取り専用権限が含まれます。ビジネス要件に基づいて権限を選択できます。

        リソース

        アプリケーションを選択すると、Simple Log Service は関連するリソースを自動的に指定します。関連するリソースは変更できません。

        条件

        ビジネス要件に基づいて権限を付与する条件を指定できます。詳細については、「権限付与ポリシーの基本要素」をご参照ください。

    4. 権限ポリシーをプレビューしてルール情報を確認し、権限付与ポリシーをコピーして、設定については「カスタム権限ポリシーの作成」をご参照ください。

    Simple Log Service の操作リストを参照して設定することもできます。関連する操作は次のとおりです。

    操作タイプ

    操作

    説明

    読み取り操作

    log:GetAlert

    アラートルールをクエリする

    読み取り操作

    log:GetAppliedConfigs

    適用された Logtail 構成のリストをクエリする

    読み取り操作

    log:GetAppliedMachineGroups

    Logtail 構成に関連付けられているマシングループをクエリする

    読み取り操作

    log:GetConfig

    Logtail コレクション構成をクエリする

    読み取り操作

    log:GetCursorOrData

    時間でカーソルをクエリする

    読み取り操作

    log:GetDashboard

    指定されたダッシュボードをクエリする

    読み取り操作

    log:GetETL

    データ変換タスクをクエリする

    読み取り操作

    log:GetIndex

    インデックスをクエリする

    読み取り操作

    log:GetLogging

    サービスログ情報をクエリする

    読み取り操作

    log:GetLogStore

    Logstore 情報を表示する

    読み取り操作

    log:GetLogStoreLogs

    Logstore モニターログを表示する

    読み取り操作

    log:GetLogStoreMeteringMode

    Logstore の課金モードをクエリする

    読み取り操作

    log:GetLogtailPipelineConfig

    Logtail パイプライン構成の詳細をクエリします

    読み取り操作

    log:GetMachineGroup

    マシングループに関する情報をクエリする

    読み取り操作

    log:GetProject

    指定されたプロジェクトをクエリする

    読み取り操作

    log:GetProjectPolicy

    プロジェクトの権限付与ポリシーをクエリする

    読み取り操作

    log:GetSavedSearch

    クイック検索をクエリする

    読み取り操作

    log:GetScheduledSQL

    Scheduled SQL ジョブをクエリする

    読み取り操作

    log:GetStoreView

    指定されたデータセットをクエリする

    読み取り操作

    log:GetStoreViewIndex

    指定されたデータセットのインデックス構成をクエリする

    読み取り操作

    log:ListConsumerGroup

    使用者グループをクエリする

    読み取り操作

    log:ListDomains

    カスタムドメイン名をクエリする

    読み取り操作

    log:ListLogStores

    Logstore を一覧表示する

    読み取り操作

    log:ListMachineGroup

    プロジェクト内のマシングループをクエリする

    読み取り操作

    log:ListMachines

    マシングループ内のマシンのリストをクエリする

    読み取り操作

    log:ListProject

    プロジェクト情報を一覧表示する

    読み取り操作

    log:ListSavedSearch

    クイッククエリ

    読み取り操作

    log:ListShards

    シャードのリストをクエリする

    読み取り操作

    log:ListTagResources

    リソースタグを一覧表示する

    読み取り操作

    log:ListProjectsInRecycleBin

    プロジェクトのゴミ箱をクエリする

    書き込み操作

    log::PutProjectTransferAcceleration

    転送アクセラレーション機能を設定する

    書き込み操作

    log:ChangeResourceGroup

    リソースグループの変更

    書き込み操作

    log:ConsumerGroupHeartBeat

    コンシューマーからサーバーにハートビートを送信する

    書き込み操作

    log:ConsumerGroupUpdateCheckPoint

    消費チェックポイントを更新する

    書き込み操作

    log:CreateConfig

    Logtail コレクション構成を作成する

    書き込み操作

    log:CreateConsumerGroup

    使用者グループを作成する

    書き込み操作

    log:CreateDashboard

    ダッシュボードを作成する

    書き込み操作

    log:CreateDomain

    カスタムドメイン名を作成する

    書き込み操作

    log:CreateIndex

    インデックスを作成します

    書き込み操作

    log:CreateLogging

    サービスログを作成する

    書き込み操作

    log:CreateLogStore

    Logstore を作成する

    書き込み操作

    log:CreateLogtailPipelineConfig

    Logtail パイプライン構成を作成します

    書き込み操作

    log:CreateMachineGroup

    マシングループを作成する

    書き込み操作

    log:CreateMetricStore

    Metricstore を作成する

    書き込み操作

    log:CreateProject

    プロジェクトを作成する

    書き込み操作

    log:CreateSavedSearch

    クイック検索を作成します

    書き込み操作

    log:CreateScheduledSQL

    Scheduled SQL ジョブを作成する

    書き込み操作

    log:CreateSqlInstance

    専用 SQL 機能を有効にします

    書き込み操作

    log:CreateStoreView

    データセットを作成する

    書き込み操作

    log:DeleteAlert

    アラートルールを削除する

    書き込み操作

    log:DeleteConfig

    Logtail 構成を削除する

    書き込み操作

    log:DeleteConsumerGroup

    使用者グループを削除する

    書き込み操作

    log:DeleteDashboard

    ダッシュボードを削除する

    書き込み操作

    log:DeleteDomain

    カスタムドメイン名を削除する

    書き込み操作

    log:DeleteIndex

    インデックスを削除します

    書き込み操作

    log:DeleteLogStore

    Logstore を削除する

    書き込み操作

    log:DeleteMachineGroup

    マシングループを削除する

    書き込み操作

    log:DeleteProject

    指定されたプロジェクトを削除する

    書き込み操作

    log:DeleteProjectPolicy

    プロジェクトの権限付与ポリシーを削除する

    書き込み操作

    log:DeleteSavedSearch

    クイック検索を削除する

    書き込み操作

    log:DeleteScheduledSQL

    Scheduled SQL ジョブを削除する

    書き込み操作

    log:DeleteStoreView

    データセットを削除する

    書き込み操作

    log:DisableAlert

    アラートルールを無効にする

    書き込み操作

    log:DisableScheduledSQL

    Scheduled SQL を無効にする

    書き込み操作

    log:EnableAlert

    アラートルールを有効にする

    書き込み操作

    log:EnableScheduledSQL

    Scheduled SQL を有効にする

    書き込み操作

    log:GetSqlInstance

    専用 SQL インスタンスをクエリする

    書き込み操作

    log:ListScheduledSQLs

    Scheduled SQL ジョブを一覧表示する

    書き込み操作

    log:MergeShard

    シャードをマージする

    書き込み操作

    log:PostLogStoreLogs

    ログを書き込む

    書き込み操作

    log:PutProjectPolicy

    プロジェクト権限付与ポリシーを作成する

    書き込み操作

    log:SplitShard

    シャードを分割する

    書き込み操作

    log:TagResources

    タグを添付する

    書き込み操作

    log:UntagResources

    タグを削除する

    書き込み操作

    log:UpdateConfig

    Logtail コレクション構成を更新する

    書き込み操作

    log:UpdateConsumerGroup

    使用者グループを更新する

    書き込み操作

    log:UpdateDashboard

    ダッシュボードを更新する

    書き込み操作

    log:UpdateIndex

    インデックスを更新します

    書き込み操作

    log:UpdateLogging

    サービスログ構成を更新する

    書き込み操作

    log:UpdateLogStore

    Logstore を更新する

    書き込み操作

    log:UpdateLogStoreMeteringMode

    Logstore の課金モードを更新する

    書き込み操作

    log:UpdateLogtailPipelineConfig

    Logtail パイプライン構成を更新します

    書き込み操作

    log:UpdateMachineGroup

    マシングループを変更する

    書き込み操作

    log:UpdateMachineGroupMachine

    マシングループのマシンリストを変更する

    書き込み操作

    log:UpdateProject

    プロジェクトを更新する

    書き込み操作

    log:UpdateSavedSearch

    クイック検索を更新します

    書き込み操作

    log:UpdateScheduledSQL

    Scheduled SQL ジョブを更新する

    書き込み操作

    log:UpdateSqlInstance

    専用 SQL インスタンスを更新する

    書き込み操作

    log:UpdateStoreView

    データセット構成を更新する

    一覧表示操作

    log:ListConfig

    Logtail 構成のリストをクエリする

    一覧表示操作

    log:ListDashboard

    ダッシュボードをクエリする

    一覧表示操作

    log:ListDownloadJobs

    ログダウンロードタスクを一覧表示する

    一覧表示操作

    log:ListETLs

    データ変換タスクを一覧表示する

    一覧表示操作

    log:ListOSSExports

    OSS データシッピングジョブを一覧表示する

    一覧表示操作

    log:ListOSSHDFSExports

    OSS-HDFS シッピングタスクを一覧表示する

    一覧表示操作

    log:ListOSSIngestions

    OSS インポートタスクを一覧表示する

    一覧表示操作

    log:ListStoreViews

    データセットリストをクエリする

    一般的なカスタム権限ポリシーのシナリオと例

    プロジェクトリストを表示する権限

    Alibaba Cloud アカウントを使用して、RAM ユーザーに次の権限を付与します:

    • Alibaba Cloud アカウントのプロジェクトリストを表示する権限

    次のポリシーを使用します:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": [
        "acs:log:*:*:project/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    プロジェクトに対する読み取り専用権限

    Alibaba Cloud アカウントを使用して、RAM ユーザーに次の権限を付与します:

    • Alibaba Cloud アカウントのプロジェクトリストを表示する権限

    • Alibaba Cloud アカウント内の特定のプロジェクトに対する読み取り専用権限

    説明

    RAM ユーザーにプロジェクトに対する読み取り専用権限を付与した場合、RAM ユーザーはプロジェクト内のログを表示できません。プロジェクト内の Logstore に対する読み取り専用権限も付与する必要があります。

    次のコードは、上記の権限を付与するポリシーの例です:

    {
   "Version": "1",
   "Statement": [
     {
       "Action": ["log:ListProject"],
       "Resource": ["acs:log:*:*:project/*"],
       "Effect": "Allow"
      },
     {
       "Action": [
         "log:Get*",
         "log:List*"
       ],
       "Resource": "acs:log:*:*:project/<プロジェクト名>/*",
       "Effect": "Allow"
     }
   ]
 }

    指定された Logstore に対する読み取り専用権限とクイック検索の作成および使用権限

    Alibaba Cloud アカウントを使用して、RAM ユーザーに次の権限を付与します:

    • Alibaba Cloud アカウントのプロジェクトリストを表示する権限

    • 特定の Logstore に対する読み取り専用権限と、クイック検索を作成および管理する権限

    次のコードは、上記の権限を付与するポリシーの例です:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<プロジェクト名>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/logstore/<Logstore 名>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/dashboard",
        "acs:log:*:*:project/<プロジェクト名>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*",
        "log:Create*"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/savedsearch",
        "acs:log:*:*:project/<プロジェクト名>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    指定された Logstore に対する読み取り専用権限と、指定されたプロジェクト内のクイック検索およびダッシュボードに対する読み取り専用権限

    Alibaba Cloud アカウントを使用して、RAM ユーザーに次の権限を付与します:

    • Alibaba Cloud アカウントのプロジェクトリストを表示する権限

    • 指定された Logstore に対する読み取り専用権限と、その Logstore が属するプロジェクト内のすべてのクイック検索とダッシュボードを表示する権限

    次のコードは、上記の権限を付与するポリシーの例です:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListProject"
      ],
      "Resource": "acs:log:*:*:project/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:List*"
      ],
      "Resource": "acs:log:*:*:project/<プロジェクト名>/logstore/*",
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/logstore/<Logstore 名>"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/dashboard",
        "acs:log:*:*:project/<プロジェクト名>/dashboard/*"
      ],
      "Effect": "Allow"
    },
    {
      "Action": [
        "log:Get*",
        "log:List*"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/savedsearch",
        "acs:log:*:*:project/<プロジェクト名>/savedsearch/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    指定されたプロジェクトへの書き込み権限

    RAM ユーザーに指定されたプロジェクトへのデータ書き込み権限のみを付与するには、次のポリシーを使用します:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*"
      ],
      "Resource": "acs:log:*:*:project/<プロジェクト名>/*",
      "Effect": "Allow"
    }
  ]
}

    指定された Logstore への書き込み権限

    RAM ユーザーに指定された Logstore へのデータ書き込み権限のみを付与するには、次のポリシーを使用します:

    {
  "Version":"1",
  "Statement":[
    {
      "Effect":"Allow",
      "Action":[
        "log:PostLogStoreLogs"
      ],
      "Resource":[
        "acs:log:*:*:project/<プロジェクト名>/logstore/<Logstore 名>"
      ]
    }
  ]
}

    指定されたプロジェクトの消費権限

    RAM ユーザーに指定されたプロジェクトからのデータ消費権限のみを付与するには、次のポリシーを使用します:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": "acs:log:*:*:project/<プロジェクト名>/*",
      "Effect": "Allow"
    }
  ]
}

    指定された Logstore の消費権限

    RAM ユーザーに指定された Logstore からのデータ消費権限のみを付与するには、次のポリシーを使用します:

    {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/logstore/<Logstore 名>",
        "acs:log:*:*:project/<プロジェクト名>/logstore/<Logstore 名>/*"
      ],
      "Effect": "Allow"
    }
  ]
}

    指定された Logstore の暗号化設定を強制的に有効にする権限

    RAM ユーザーに特定の Logstore の暗号化設定を強制的に有効にする権限を付与すると、その RAM ユーザーは Logstore の作成または変更時に暗号化設定を有効にする必要があります。これらの権限が付与されていない RAM ユーザーは、Logstore の作成または変更時に暗号化設定を有効にする必要はありません。

    説明

    正確なプロジェクト名と Logstore 名を指定できます。また、アスタリスク (*) を使用してあいまい一致を実行することもできます。

    {
  "Version": "1",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "log:CreateLogStore",
        "log:UpdateLogStore"
      ],
      "Resource": [
        "acs:log:*:*:project/<プロジェクト名>/logstore/<Logstore 名>",
        "acs:log:*:*:project/<プロジェクト名>/logstore/*"
      ],
      "Condition": {
        "Bool": {
          "log:Encrypted": "true"
        }
      }
    }
  ]
}

    ログアプリケーションの使用に必要な権限

    RAM ユーザーが次のログアプリケーションまたは機能を使用できるようにするには、RAM ユーザーに必要な権限を付与する必要があります:

    • データベース監査

    • モバイル O&M モニタリング

    • フローログセンター

    • AWS CloudTrail のログ分析

    • SREWorks

    • 一般ホスト監査

    • インテリジェント異常分析

    • カスタムダッシュボード

    • ダッシュボードプレイリスト

    ログアプリケーションを使用するには、次の権限が必要です。

    • 読み取り専用権限

      {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "log:GetResource",
                "log:ListResources",
                "log:GetResourceRecord",
                "log:ListResourceRecords"
            ],
            "Resource": [
                "acs:log:*:*:resource/*"
            ]
        }
    ]
}

    • 管理権限

      {
    "Version": "1",
    "Statement": [
          {
      "Effect": "Allow",
      "Action": [
        "log:*"
      ],
      "Resource": [
        "acs:log:*:*:resource/*"
      ]
    }
    ]
}