このトピックでは、RAM ユーザーにアラート管理の権限を付与する方法について説明します。

始める前に

RAM ユーザーを作成します。 詳細については、「RAM ユーザーに Log Service へのアクセスを許可」をご参照ください。

このタスクについて

以下のいずれかの権限ポリシーを RAM ユーザーに追加することで、RAM ユーザーに権限を付与できます。
  • 簡易モード: Log Service 内のデータに対するフルアクセス権限を RAM ユーザーに付与できます。 関連パラメーターを変更する必要はありません。
    • ご自身の Alibaba Cloud アカウントで RAM コンソールにログインし、RAM ユーザーに AliyunLogFullAccess ポリシーを割り当てます。 これにより、Log Service 内のデータに対するフルアクセス権限が RAM ユーザーに付与されます。 詳細については、「RAM ユーザーに Log Service へのアクセスを許可」をご参照ください。
    • RAM ユーザーに、Metricsstore または Logstore 内のデータに対するクエリを許可することができます。 この場合、RAM ユーザーは組み込みロールまたはカスタムロールを引き受ける必要があります。 このような場合、RAM ユーザーにロールの ram:PassRole 権限を付与する必要があります。 次のスクリプトは、アクセス権限ポリシーを示しています。
      {
     "Action": "ram:PassRole",
     "Effect": "Allow",
     "Resource": "acs:ram:: Alibaba Cloud アカウントロール ARN"
 }
      ビルトインロールを作成する方法またはカスタムのロールを承認する方法の詳細については、「アクセス制御ポリシーの管理」をご参照ください。
  • カスタムモード: カスタムポリシーを作成し、そのポリシーで RAM ユーザーに必要な権限のみを付与できます。 このモードでは複雑な設定が必要であり、また、詳細なアクセス制御を提供します。

    このトピックでは、カスタムポリシーを使用して RAM ユーザーを承認する方法について説明します。

手順

  1. RAM コンソール にログインします。
  2. ポリシーを作成します。
    1. 左側のナビゲーションウィンドウから、[権限] > [ポリシー] を選択します。
    2. [ポリシー] ページで [ポリシーの作成] をクリックします。
    3. [カスタムポリシー] ページでパラメーターを設定し、 [OK] をクリックします。 下表にパラメーターを示します。
      パラメーター 説明
      ポリシー名 ポリシー名。
      設定モード [スクリプト] をクリックします。
      ポリシードキュメント ポリシーの内容。 エディターの内容を次のスクリプトに置き換えます。
      • Project name を実際のプロジェクト名に置き換えます。
      • sls-alert-* は、現在の Alibaba Cloud アカウント内のグローバルアラートセンターのプロジェクトです。 形式:sls-alert-${uid}-${region} プロジェクトには、すべてのアラート処理レポートが含まれています。 
      {
    "Version": "1",
    "Statement": [
   {
        "Effect": "Allow",
     "Action": [
       "log:CreateLogStore",
       "log:CreateIndex",
       "log:UpdateIndex"
     ],
     "Resource": [
"acs:log:*:*:project/Project name/logstore/internal-alert-history",
       "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log"
     ]
     },
   {
     "Effect": "Allow",
     "Action": [
       "log:CreateDashboard",
       "log:CreateChart",
       "log:UpdateDashboard"
     ],
     "Resource": [
"acs:log:*:*:project/Project name/dashboard/*"
      "acs:log:*:*:project/sls-alert-*/dashboard/*"
    ]
   },
   {
     "Effect": "Allow",
     "Action": [
        "log:*"
     ],
     "Resource":"acs:log:*:*:project/Project name/job/*"
   },
   {
     "Effect": "Allow",
     "Action": [
        "log:CreateProject"
     ],
     "Resource": [
        "acs:log:*:*:project/sls-alert-*"
     ]
   },
   {
     "Effect":"Allow",
     "Action": [
        "log:GetLogStoreLogs",
        "log:GetIndex"
      ],
      "Resource":"acs:log:*:*:project/Project name/*"
   },
   {
     "Action": "ram:PassRole",
     "Effect":"Allow",
     "Resource":"acs:ram:: Alibaba Cloud account: Role ARN"
   }
 ]
}
  3. RAM ユーザーに必要な権限を付与します。
    1. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。
    2. [ユーザー] ページで、権限を付与する RAM ユーザーを確認し、[操作] 列で [権限の追加] をクリックします。
    3. [アクセス権限の追加] パネルで、[ポリシーの選択] セクションで [システムポリシー] をクリックし、 [AliyunRAMReadOnlyAccess] ポリシーを選択します。
    4. [ポリシーの選択] セクションでは、[カスタムポリシー] をクリックし、手順 2で作成したポリシーを選択し、[OK] をクリックします。
    5. [完了] をクリックします。