RAM ユーザーとしてデータ変換ジョブを作成する場合、カスタムロールを使用して同一 Alibaba Cloud アカウント内でログデータを転送できます。
前提条件
-
プロジェクト、ソース Logstore、および送信先 Logstore が作成済みです。プロジェクト名と各 Logstore 名が必要になります。詳細については、「Logstore の管理」および「プロジェクトの管理」をご参照ください。
-
RAM ユーザーが作成され、データ変換に必要な権限が付与されています。詳細については、「RAM ユーザーにデータ変換の権限を付与する」をご参照ください。
背景情報
RAM ユーザーがデータ変換ジョブを作成する単一アカウントのシナリオでは、RAM ロール A にソース Logstore の読み取り権限を、RAM ロール B に送信先 Logstore の書き込み権限をそれぞれ付与する必要があります。次の図は、このシナリオにおける権限付与モデルを示しています。
ステップ 1:ロール A の作成
- Alibaba Cloud アカウントまたは RAM 管理者として RAM コンソールにログインします。
-
RAM ロール A を作成します。
詳細については、「信頼できる Alibaba Cloud サービス向け RAM ロールの作成」をご参照ください。次の表に従って主要パラメーターを設定します。
主要パラメーター
説明
信頼できるエンティティタイプの選択
Alibaba Cloud サービス を選択します。
ロールタイプ
通常のサービスロール を選択します。
ロール名
ロール名を入力します(例:role-A)。
信頼できるサービスの選択
Log Service を選択します。
ステップ 2:読み取り権限の付与
- Alibaba Cloud アカウントまたは RAM 管理者として RAM コンソールにログインします。
-
スクリプトエディタモードで、ソース Logstore からデータを読み取ることを許可するカスタムポリシーを作成します。たとえば、ポリシー名を ori_read とします。
詳細については、「カスタムポリシーの作成」をご参照ください。次の表に従って主要パラメーターを設定します。
主要パラメーター
説明
名前
カスタムポリシーの名前を入力します(例:ori_read)。
ポリシードキュメント
エディタ内の既存のスクリプトを次の内容に置き換えます。
この例では、ソースプロジェクトは
log-project-prod、ソース Logstore はaccess_logです。実際の構成に応じてこれらの値を置き換えてください。{ "Version": "1", "Statement": [ { "Action": [ "log:ListShards", "log:GetCursorOrData", "log:GetConsumerGroupCheckPoint", "log:UpdateConsumerGroup", "log:ConsumerGroupHeartBeat", "log:ConsumerGroupUpdateCheckPoint", "log:ListConsumerGroup", "log:CreateConsumerGroup" ], "Resource": [ "acs:log:*:*:project/log-project-prod/logstore/access_log", "acs:log:*:*:project/log-project-prod/logstore/access_log/*" ], "Effect": "Allow" } ] } -
RAM ロール A にソース Logstore の読み取り権限を付与します。
詳細については、「RAM ロールの権限管理」をご参照ください。次の表に従って主要パラメーターを設定します。
主要パラメーター
説明
権限付与の対象
アカウントレベル を選択します。これにより、現在の Alibaba Cloud アカウント内で権限が有効になります。
権限付与の対象
ステップ 1:RAM ロール A の作成 で作成した role-A を選択します。
カスタムポリシー
ori_read を選択します。
-
RAM ロールの Alibaba Cloud リソースネーム (ARN) を取得します。
RAM ロール A の詳細ページの 基本情報 セクションで ARN を確認します。例:
acs:ram::1379******44:role/role-a。
ステップ 3:ロール B の作成
-
RAM ロール B を作成します。
詳細については、「信頼できる Alibaba Cloud サービス向け RAM ロールの作成」をご参照ください。次の表に従って主要パラメーターを設定します。
主要パラメーター
説明
信頼できるエンティティタイプの選択
Alibaba Cloud サービス を選択します。
ロールタイプ
通常のサービスロール を選択します。
ロール名
ロール名を入力します(例:role-B)。
信頼できるサービスを選択
Log Service を選択します。
ステップ 4:書き込み権限の付与
-
スクリプト編集モードでカスタムポリシーを作成し、データ変換結果を送信先 Logstore に書き込むことを許可します。たとえば、write という名前のポリシーを作成できます。
詳細については、「カスタムポリシーの作成」をご参照ください。次の表に従って主要パラメーターを設定します。
主要パラメーター
説明
名前
カスタムポリシーの名前を入力します(例:write)。
ポリシードキュメント
エディタ内の既存のスクリプトを次の内容に置き換えます。
この例では、送信先プロジェクトは
log-project-prod、送信先 Logstore はaccess_log_outputです。実際の構成に応じてこれらの値を置き換えてください。{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output", "Effect": "Allow" } ] } -
RAM ロール B に送信先 Logstore の書き込み権限を付与します。
詳細については、「RAM ロールの権限管理」をご参照ください。次の表に従って主要パラメーターを設定します。
主要パラメーター
説明
権限付与の対象
アカウントレベル を選択します。これにより、現在の Alibaba Cloud アカウント内で権限が有効になります。
権限付与の対象
ステップ 3:RAM ロール B の作成 で作成した role-B を選択します。
カスタムポリシー
write を選択します。
-
RAM ロールの Alibaba Cloud リソースネーム (ARN) を取得します。
RAM ロール B の詳細ページの 基本情報 セクションで ARN を確認します。例:
acs:ram::1379******44:role/role-b。 スクリプトエディタモードでカスタムポリシーを作成します。このポリシーにより、データ変換結果を送信先 Logstore に書き込むことができます。たとえば、ポリシー名を write とします。
詳細については、「カスタムポリシーの作成」をご参照ください。主要パラメーターは次のとおりです。
主要パラメーター
説明
名前
カスタムポリシーの名前を入力します(例:write)。
ポリシードキュメント
設定ボックス内の既存のスクリプトを次の内容に置き換えます。
たとえば、送信先プロジェクトは log-project-prod、送信先 Logstore は access_log_output です。必要に応じてこれらの値を置き換えてください。
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output", "Effect": "Allow" } ] }ロール B に送信先 Logstore の書き込み権限を付与します。
詳細については、「RAM ロールの権限管理」をご参照ください。主要パラメーターは次のとおりです。
主要パラメーター
説明
権限付与の対象
アカウントレベル を選択します。これにより、現在の Alibaba Cloud アカウント内で権限が有効になります。
権限付与の対象
ステップ 3:ロール B の作成 で作成した role-B を選択します。
カスタムポリシー
write を選択します。
RAM ロール ARN を取得します。
ロール B の 基本情報 セクションで情報を確認します。例:
acs:ram::1379******44:role/role-b。
ステップ 5:データ変換ジョブの作成
-
RAM ユーザーとして Log Service コンソール にログインします。
-
データ変換ページに移動します。
プロジェクトセクションで、目的のプロジェクトをクリックします。
ログストレージ > Logstores タブで、目的の Logstore をクリックします。
-
クエリと分析ページで、データ処理 をクリックします。
-
ページ右上隅で時間範囲を選択します。
生ログ タブにログデータが表示されていることを確認してください。
-
エディタにデータ変換文を入力します。
変換文の構文については、「データ変換構文」をご参照ください。
-
データをプレビューします。
-
Quick をクリックします。
Log Service は、クイックモードと高度なプレビューモードをサポートしています。詳細については、「データのプレビューとデバッグ」をご参照ください。
-
データのプレビュー をクリックします。
プレビュー結果を確認します。
-
無効な文または不正確な権限によりデータ変換が失敗した場合は、画面上の指示に従ってエラーを解決してください。
-
変換結果が正しい場合は、次のステップに進んでください。
-
-
-
データ変換ジョブを作成します。
-
データ処理の保存 をクリックします。
-
データ処理タスクの作成 パネルでパラメーターを設定し、OK をクリックします。
その他のパラメーターについては、「データ変換クイックスタート」をご参照ください。このシナリオにおける主要パラメーターを次の表に示します。
主要パラメーター
説明
Authorization Method
Custom Role を選択します。
Role ARN
RAM ロール A の ARN を入力します。例:
acs:ram::1379******44:role/role-a。ストレージターゲット の 権限付与方法
Custom Role を選択します。
Role ARN
RAM ロール B の ARN を入力します。例:
acs:ram::1379******44:role/role-b。
データ変換ジョブが作成され実行中になった時点で、アカウント内データ転送の設定は完了です。詳細については、「データ変換ジョブの管理」をご参照ください。
-