このトピックでは、RAM ユーザーにアラート管理の権限を付与する方法について説明します。
始める前に
このタスクについて
以下のいずれかの権限ポリシーを RAM ユーザーに追加することで、RAM ユーザーに権限を付与できます。
- 簡易モード: Log Service 内のデータに対するフルアクセス権限を RAM ユーザーに付与できます。 関連パラメーターを変更する必要はありません。
- ご自身の Alibaba Cloud アカウントで RAM コンソールにログインし、RAM ユーザーに AliyunLogFullAccess ポリシーを割り当てます。 これにより、Log Service 内のデータに対するフルアクセス権限が RAM ユーザーに付与されます。 詳細については、「RAM ユーザーに Log Service へのアクセスを許可」をご参照ください。
- RAM ユーザーに、Metricsstore または Logstore 内のデータに対するクエリを許可することができます。 この場合、RAM ユーザーは組み込みロールまたはカスタムロールを引き受ける必要があります。
このような場合、RAM ユーザーにロールの
ram:PassRole
権限を付与する必要があります。 次のスクリプトは、アクセス権限ポリシーを示しています。
ビルトインロールを作成する方法またはカスタムのロールを承認する方法の詳細については、「アクセス制御ポリシーの管理」をご参照ください。{ "Action": "ram:PassRole", "Effect": "Allow", "Resource": "acs:ram:: Alibaba Cloud アカウント: ロール ARN" }
- カスタムモード: カスタムポリシーを作成し、そのポリシーで RAM ユーザーに必要な権限のみを付与できます。 このモードでは複雑な設定が必要であり、また、詳細なアクセス制御を提供します。
このトピックでは、カスタムポリシーを使用して RAM ユーザーを承認する方法について説明します。
手順
- RAM コンソール にログインします。
- ポリシーを作成します。
- RAM ユーザーに必要な権限を付与します。
- 左側のナビゲーションウィンドウで、 を選択します。
- [ユーザー] ページで、権限を付与する RAM ユーザーを確認し、[操作] 列で [権限の追加] をクリックします。
- [アクセス権限の追加] パネルで、[ポリシーの選択] セクションで [システムポリシー] をクリックし、 [AliyunRAMReadOnlyAccess] ポリシーを選択します。
- [ポリシーの選択] セクションでは、[カスタムポリシー] をクリックし、手順 2で作成したポリシーを選択し、[OK] をクリックします。
- [完了] をクリックします。