スケジュールされた SQL タスクを実行する前に、3 つの権限レイヤーが必要です。タスクライフサイクルを制御する管理権限、送信元 Logstore または Metricstore にクエリを実行する SQL 分析権限、および結果を送信先に保存するデータ書き込み権限です。
スケジュールされた SQL タスクの管理権限
管理権限は、スケジュールされた SQL タスクを作成、変更、削除、および表示できるユーザーを制御します。
スケジュールされた SQL タスクを管理するには、Alibaba Cloud アカウントではなく RAM ユーザーを使用してください。RAM によるアクセス制限により、認証情報が侵害された場合の爆発半径を抑えることができます。
Alibaba Cloud アカウント:Alibaba Cloud アカウントは、AliyunLogFullAccess ポリシーを通じて Simple Log Service の完全な管理権限を持ちます。追加の権限付与は不要です。
RAM ユーザー:Resource Access Management (RAM) ユーザーは、スケジュールされた SQL タスクを管理する前に明示的な権限付与が必要です。詳細については、「RAM ユーザーにスケジュールされた SQL タスクを管理する権限を付与する」をご参照ください。
スケジュールされた SQL タスクに必要な SQL 分析権限
送信元 Logstore または Metricstore で SQL 分析を実行するには、スケジュールされた SQL タスクが RAM ロールを引き受けます。AliyunLogETLRole 組み込みロールには、すでに必要な権限が含まれています。よりきめ細かいアクセス制御が必要な場合は、カスタムロールを作成し、必要な権限のみを付与してください。
デフォルトロール:AliyunLogETLRole デフォルトロールには、送信元 Logstore および Metricstore の SQL 分析権限が含まれています。タスクにこのロールを引き受ける権限を付与してください。詳細については、「デフォルトロールを設定する」をご参照ください。
カスタムロール:RAM ロールを作成し、送信元 Logstore の SQL 分析権限を付与してから、タスクにそのロールを引き受ける権限を付与します。詳細については、「ステップ 1: RAM ロールに送信元 Logstore のログデータを分析する権限を付与する」をご参照ください。
スケジュールされた SQL タスクに必要なデータ書き込み権限
SQL 分析結果を送信先 Logstore または Metricstore に保存するには、スケジュールされた SQL タスクがデータ書き込み権限を持つ RAM ロールを引き受けます。AliyunLogETLRole デフォルトロールは、この要件を満たします。よりきめ細かい制御が必要な場合は、カスタムロールを使用してください。
デフォルトロール:AliyunLogETLRole デフォルトロールには、送信先 Logstore および Metricstore のデータ書き込み権限が含まれています。タスクにこのロールを引き受ける権限を付与してください。詳細については、「デフォルトロールを設定する」をご参照ください。
カスタムロール:RAM ロールを作成し、送信先 Logstore または Metricstore のデータ書き込み権限を付与してから、タスクにそのロールを引き受ける権限を付与します。詳細については、「ステップ 2: RAM ロールに送信先 Logstore にデータを書き込む権限を付与する」をご参照ください。