すべてのプロダクト
Search

このプロダクト

    ActionTrail:ActionTrail の標準サービスロール

    ドキュメントセンター

    ActionTrail:ActionTrail の標準サービスロール

    最終更新日:Jan 15, 2026

    ActionTrail を使用してアカウント間でイベントを配信するには、ActionTrailDeliveryRole という名前の標準サービスロールを作成し、AliyunActionTrailDeliveryPolicy ポリシーをロールにアタッチする必要があります。このトピックでは、標準サービスロールの作成、表示、および削除方法について説明します。

    概要

    サービスロールは、Alibaba Cloud サービスが引き受けることができる Resource Access Management (RAM) ロールの一種です。サービス間のアクセスにおける権限付与の問題を解決するために設計されています。詳細については、「RAM ロールの概要」をご参照ください。

    ActionTrail には、次の標準サービスロールとシステムポリシーが用意されています。

    • 標準サービスロール: ActionTrailDeliveryRole

    • システムポリシー: AliyunActionTrailDeliveryPolicy

    シナリオ

    複数の Alibaba Cloud アカウントを管理および保守する場合、ActionTrail でトレイルを作成して、複数のアカウントのイベントを 1 つのアカウント内の Simple Log Service、Object Storage Service (OSS)、または MaxCompute に配信できます。このようにして、監査データを一元的にアーカイブおよび監視できます。 ActionTrail は、ActionTrailDeliveryRole という名前の標準サービスロールを担って、アカウント間でイベントを配信します。

    標準サービスロールを作成する

    ActionTrail を使用してアカウント間でイベントを配信する場合は、ActionTrailDeliveryRole という名前の標準サービスロールを作成し、AliyunActionTrailDeliveryPolicy ポリシーをロールにアタッチする必要があります。詳細については、「RAM ユーザーに権限を付与する」をご参照ください。

    AliyunActionTrailDeliveryPolicy ポリシーの権限を表示する

    {
    "Version": "1",
    "Statement": [
        {
            "Action": [
                "oss:PutObject",
                "oss:GetBucketInfo",
                "oss:GetBucketLifecycle",
                "oss:GetBucketLocation",
                "kms:ListKeys",
                "kms:Listalias",
                "kms:ListAliasesByKeyId",
                "kms:DescribeKey",
                "kms:GenerateDataKey",
                "kms:Decrypt"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:GetProject"
            ],
            "Resource": "*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:PostLogStoreLogs",
                "log:CreateLogstore",
                "log:GetLogstore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:GetIndex",
                "log:GetLogStoreLogs"
            ],
            "Resource": [
                "acs:log:*:*:project/*/logstore/actiontrail_*",
                "acs:log:*:*:project/*/logstore/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource": "acs:log:*:*:project/*/dashboard/*",
            "Effect": "Allow"
        },
        {
            "Action": [
                "log:CreateSavedSearch",
                "log:UpdateSavedSearch"
            ],
            "Resource": [
                "acs:log:*:*:project/*/savedsearch/actiontrail_*",
                "acs:log:*:*:project/*/savedsearch/insights_*"
            ],
            "Effect": "Allow"
        },
        {
            "Effect": "Allow",
            "Action": "odps:updateUsersToAdmin",
            "Resource": "acs:odps:*:*:projects/actiontrail_*"
        }
    ]
}

    標準サービスロールを表示する

    標準サービスロールが作成された後、Resource Access Management (RAM) コンソールの ロール ページで ActionTrailDeliveryRole を検索して、ロールの詳細を表示できます。

    • 基本情報

      [基本情報] セクションでは、ロールの名前、作成時間、Alibaba Cloud Resource Name (ARN)、説明など、ロールに関する基本情報を表示できます。

    • 権限

      [権限] タブで、ポリシー名をクリックすると、ポリシードキュメントとロールがアクセスできるクラウドリソースを表示できます。

    • 信頼ポリシー

      ロール詳細ページの [信頼ポリシー] タブで、信頼ポリシードキュメントを表示できます。信頼ポリシーは、RAM ロールの信頼できるエンティティを定義します。信頼できるエンティティとは、その RAM ロールを引き受けることが許可された ID です。サービスロールの場合、信頼できるエンティティは Alibaba Cloud サービスであり、信頼ポリシーの Service フィールドで指定されます。

    標準サービスロールの表示方法の詳細については、「RAM ロールの情報を表示する」をご参照ください。

    標準サービスロールを削除する

    重要

    標準サービスロールを削除すると、ロールに依存する機能が使用できなくなります。標準サービスロールを削除する際は注意してください。

    RAM コンソール に移動し、標準サービスロールを削除します。詳細については、「RAM ロールを削除する」をご参照ください。