このトピックでは、Resource Access Management (RAM) ユーザーにデータ変換タスクを管理する権限を付与する方法について説明します。
前提条件
RAM ユーザーが作成されていること。 詳細については、「RAM ユーザーの作成」をご参照ください。
背景情報
Alibaba Cloud アカウントを使用して、RAM ユーザーにデータ変換タスクを管理する権限を付与します。
データ変換タスクの作成、削除、変更。
ソース Logstore からデータを読み取り、データ変換タスクの結果をプレビューする。
Simple Log Service のデータを変換する権限を RAM ユーザーに付与するには、次のいずれかの方法を使用します。
システムポリシーの追加:RAM ユーザーに Simple Log Service のすべての権限を付与できます。 システムポリシーは変更できません。 パラメーターを設定する必要はありません。
カスタムポリシーの追加:カスタムポリシーを作成し、そのポリシーを RAM ユーザーにアタッチできます。 この方法では、詳細なアクセスコントロールが可能ですが、複雑な構成が必要です。
システムポリシー
Alibaba Cloud アカウントまたは RAM 管理者でRAM コンソールにログインします。
RAM ユーザーに
AliyunRAMFullAccessおよびAliyunLogFullAccessシステムポリシーを付与します。 詳細については、「RAM ユーザーへの権限付与」をご参照ください。
カスタムポリシー
Alibaba Cloud アカウントまたは管理権限を持つ RAM ユーザーで RAM コンソールにログインします。
[ポリシーの作成] ページの [JSON] タブで、コードエディタ内の既存のスクリプトを次のポリシードキュメントに置き換えて、カスタムポリシーを作成します。 詳細については、「[JSON] タブでのカスタムポリシーの作成」をご参照ください。
重要ビジネス要件に基づき、ポリシードキュメント内の
Project nameとLogstore nameを置き換えてください。{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project name/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project name/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project name/logstore/Logstore name" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project name/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project name/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project name/job/*" },{ "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project name/etl/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }作成したカスタムポリシーを RAM ユーザーにアタッチします。 詳細については、「RAM ユーザーへの権限付与」をご参照ください。