すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:シナリオ 2:RAM ロールを使用したアカウント内転送

最終更新日:May 01, 2026

RAM ユーザーとしてデータ変換ジョブを作成する場合、カスタムロールを使用して同一 Alibaba Cloud アカウント内でログデータを転送できます。

前提条件

背景情報

RAM ユーザーがデータ変換ジョブを作成する単一アカウントのシナリオでは、RAM ロール A にソース Logstore の読み取り権限を、RAM ロール B に送信先 Logstore の書き込み権限をそれぞれ付与する必要があります。次の図は、このシナリオにおける権限付与モデルを示しています。

ステップ 1:ロール A の作成

  1. Alibaba Cloud アカウントまたは RAM 管理者として RAM コンソールにログインします。
  2. RAM ロール A を作成します。

    詳細については、「信頼できる Alibaba Cloud サービス向け RAM ロールの作成」をご参照ください。次の表に従って主要パラメーターを設定します。

    主要パラメーター

    説明

    信頼できるエンティティタイプの選択

    Alibaba Cloud サービス を選択します。

    ロールタイプ

    通常のサービスロール を選択します。

    ロール名

    ロール名を入力します(例:role-A)。

    信頼できるサービスの選択

    Log Service を選択します。

ステップ 2:読み取り権限の付与

  1. Alibaba Cloud アカウントまたは RAM 管理者として RAM コンソールにログインします。
  2. スクリプトエディタモードで、ソース Logstore からデータを読み取ることを許可するカスタムポリシーを作成します。たとえば、ポリシー名を ori_read とします。

    詳細については、「カスタムポリシーの作成」をご参照ください。次の表に従って主要パラメーターを設定します。

    主要パラメーター

    説明

    名前

    カスタムポリシーの名前を入力します(例:ori_read)。

    ポリシードキュメント

    エディタ内の既存のスクリプトを次の内容に置き換えます。

    この例では、ソースプロジェクトは log-project-prod、ソース Logstore は access_log です。実際の構成に応じてこれらの値を置き換えてください。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:ListShards",
            "log:GetCursorOrData",
            "log:GetConsumerGroupCheckPoint",
            "log:UpdateConsumerGroup",
            "log:ConsumerGroupHeartBeat",
            "log:ConsumerGroupUpdateCheckPoint",
            "log:ListConsumerGroup",
            "log:CreateConsumerGroup"
          ],
          "Resource": [
            "acs:log:*:*:project/log-project-prod/logstore/access_log",
            "acs:log:*:*:project/log-project-prod/logstore/access_log/*"
          ],
          "Effect": "Allow"
        }
      ]
    }
  3. RAM ロール A にソース Logstore の読み取り権限を付与します。

    詳細については、「RAM ロールの権限管理」をご参照ください。次の表に従って主要パラメーターを設定します。

    主要パラメーター

    説明

    権限付与の対象

    アカウントレベル を選択します。これにより、現在の Alibaba Cloud アカウント内で権限が有効になります。

    権限付与の対象

    ステップ 1:RAM ロール A の作成 で作成した role-A を選択します。

    カスタムポリシー

    ori_read を選択します。

  4. RAM ロールの Alibaba Cloud リソースネーム (ARN) を取得します。

    RAM ロール A の詳細ページの 基本情報 セクションで ARN を確認します。例:acs:ram::1379******44:role/role-a

ステップ 3:ロール B の作成

  1. RAM ロール B を作成します。

    詳細については、「信頼できる Alibaba Cloud サービス向け RAM ロールの作成」をご参照ください。次の表に従って主要パラメーターを設定します。

    主要パラメーター

    説明

    信頼できるエンティティタイプの選択

    Alibaba Cloud サービス を選択します。

    ロールタイプ

    通常のサービスロール を選択します。

    ロール名

    ロール名を入力します(例:role-B)。

    信頼できるサービスを選択

    Log Service を選択します。

ステップ 4:書き込み権限の付与

  1. スクリプト編集モードでカスタムポリシーを作成し、データ変換結果を送信先 Logstore に書き込むことを許可します。たとえば、write という名前のポリシーを作成できます。

    詳細については、「カスタムポリシーの作成」をご参照ください。次の表に従って主要パラメーターを設定します。

    主要パラメーター

    説明

    名前

    カスタムポリシーの名前を入力します(例:write)。

    ポリシードキュメント

    エディタ内の既存のスクリプトを次の内容に置き換えます。

    この例では、送信先プロジェクトは log-project-prod、送信先 Logstore は access_log_output です。実際の構成に応じてこれらの値を置き換えてください。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:Post*",
            "log:BatchPost*"
          ],
           "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
          "Effect": "Allow"
        }
      ]
    }
  2. RAM ロール B に送信先 Logstore の書き込み権限を付与します。

    詳細については、「RAM ロールの権限管理」をご参照ください。次の表に従って主要パラメーターを設定します。

    主要パラメーター

    説明

    権限付与の対象

    アカウントレベル を選択します。これにより、現在の Alibaba Cloud アカウント内で権限が有効になります。

    権限付与の対象

    ステップ 3:RAM ロール B の作成 で作成した role-B を選択します。

    カスタムポリシー

    write を選択します。

  3. RAM ロールの Alibaba Cloud リソースネーム (ARN) を取得します。

    RAM ロール B の詳細ページの 基本情報 セクションで ARN を確認します。例:acs:ram::1379******44:role/role-b

  4. スクリプトエディタモードでカスタムポリシーを作成します。このポリシーにより、データ変換結果を送信先 Logstore に書き込むことができます。たとえば、ポリシー名を write とします。

    詳細については、「カスタムポリシーの作成」をご参照ください。主要パラメーターは次のとおりです。

    主要パラメーター

    説明

    名前

    カスタムポリシーの名前を入力します(例:write)。

    ポリシードキュメント

    設定ボックス内の既存のスクリプトを次の内容に置き換えます。

    たとえば、送信先プロジェクトは log-project-prod、送信先 Logstore は access_log_output です。必要に応じてこれらの値を置き換えてください。

    {
      "Version": "1",
      "Statement": [
        {
          "Action": [
            "log:Post*",
            "log:BatchPost*"
          ],
           "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
          "Effect": "Allow"
        }
      ]
    }
  5. ロール B に送信先 Logstore の書き込み権限を付与します。

    詳細については、「RAM ロールの権限管理」をご参照ください。主要パラメーターは次のとおりです。

    主要パラメーター

    説明

    権限付与の対象

    アカウントレベル を選択します。これにより、現在の Alibaba Cloud アカウント内で権限が有効になります。

    権限付与の対象

    ステップ 3:ロール B の作成 で作成した role-B を選択します。

    カスタムポリシー

    write を選択します。

  6. RAM ロール ARN を取得します。

    ロール B の 基本情報 セクションで情報を確認します。例:acs:ram::1379******44:role/role-b

ステップ 5:データ変換ジョブの作成

  1. RAM ユーザーとして Log Service コンソール にログインします。

  2. データ変換ページに移動します。

    1. プロジェクトセクションで、目的のプロジェクトをクリックします。

    2. ログストレージ > Logstores タブで、目的の Logstore をクリックします。

    3. クエリと分析ページで、データ処理 をクリックします。

  3. ページ右上隅で時間範囲を選択します。

    生ログ タブにログデータが表示されていることを確認してください。

  4. エディタにデータ変換文を入力します。

    変換文の構文については、「データ変換構文」をご参照ください。

  5. データをプレビューします。

    1. Quick をクリックします。

      Log Service は、クイックモードと高度なプレビューモードをサポートしています。詳細については、「データのプレビューとデバッグ」をご参照ください。

    2. データのプレビュー をクリックします。

      プレビュー結果を確認します。

      • 無効な文または不正確な権限によりデータ変換が失敗した場合は、画面上の指示に従ってエラーを解決してください。

      • 変換結果が正しい場合は、次のステップに進んでください。

  6. データ変換ジョブを作成します。

    1. データ処理の保存 をクリックします。

    2. データ処理タスクの作成 パネルでパラメーターを設定し、OK をクリックします。

      その他のパラメーターについては、「データ変換クイックスタート」をご参照ください。このシナリオにおける主要パラメーターを次の表に示します。

      主要パラメーター

      説明

      Authorization Method

      Custom Role を選択します。

      Role ARN

      RAM ロール A の ARN を入力します。例:acs:ram::1379******44:role/role-a

      ストレージターゲット権限付与方法

      Custom Role を選択します。

      Role ARN

      RAM ロール B の ARN を入力します。例:acs:ram::1379******44:role/role-b

    データ変換ジョブが作成され実行中になった時点で、アカウント内データ転送の設定は完了です。詳細については、「データ変換ジョブの管理」をご参照ください。