システムポリシーまたはカスタムポリシーを Resource Access Management (RAM) ユーザーにアタッチすると、RAM ユーザーはポリシーで定義されている権限を使用して Alibaba Cloud リソースにアクセスできます。 RAM ユーザーに ActionTrail へのアクセスと管理の権限を付与できます。 たとえば、RAM ユーザーはイベントをクエリしたり、証跡とアラートを管理したりできます。 このトピックでは、RAM ユーザーに ActionTrail を管理するための権限を付与する方法について説明します。
前提条件
RAM ユーザーが作成されていること。 詳細については、「RAM ユーザーの作成」をご参照ください。
AliyunServiceRoleForActionTrail サービスロールが作成されていること。 詳細については、「サービスロールの管理」をご参照ください。
手順
RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、必要な RAM ユーザーを見つけ、[権限の追加][アクション] 列の をクリックします。
[権限の付与] パネルで、[リソース範囲] パラメーターを設定し、ポリシーを選択します。
リソース範囲パラメーターを設定します。
[アカウント]: 権限付与は、現在の Alibaba Cloud アカウントに有効です。
[リソースグループ]: 権限付与は、特定のリソースグループに有効です。
重要リソース範囲パラメーターに [リソースグループ] を選択する場合は、必要なクラウドサービスとリソースタイプがリソースグループをサポートしていることを確認してください。 詳細については、「リソースグループと連携するサービス」をご参照ください。 リソースグループに権限を付与する方法の詳細については、「複数アカウントシナリオでの CloudSSO ベースの ID および権限管理」をご参照ください。
プリンシパルパラメーターを設定します。
プリンシパルとは、権限を付与する RAM ユーザーのことです。 現在の RAM ユーザーが自動的に選択されます。
ポリシーパラメーターを設定します。
ポリシーには、一連の権限が含まれています。 ポリシーは、システムポリシーとカスタムポリシーに分類できます。 一度に複数のポリシーを選択できます。
システムポリシー: システムポリシーを選択します。
ポリシー名
説明
AliyunActionTrailReadOnlyAccess
ActionTrail リソースに対する読み取り専用権限を付与します。
AliyunActionTrailFullAccess
ActionTrail リソースに対する管理権限を付与します。
AliyunOSSReadOnlyAccess
Object Storage Service (OSS) リソースに対する読み取り専用権限を付与します。
AliyunLogReadOnlyAccess
Simple Log Service リソースに対する読み取り専用権限を付与します。
カスタムポリシー: [すべてのタイプ] をクリックし、[カスタムポリシー] を選択します。
カスタムポリシーの作成方法の詳細については、「カスタムポリシーの作成」をご参照ください。
例 1: RAM ユーザーに ActionTrail に対するフル権限と、OSS バケットおよび Simple Log Service プロジェクトをクエリする権限を付与します。 これにより、RAM ユーザーは証跡を管理できます。
サンプルコード:
{ "Version": "1", "Statement": [ { "Action": [ "actiontrail:*", "oss:GetService", "log:ListProject" ], "Resource": "*", "Effect": "Allow" } ] }権限の説明:
アクション
説明
oss:GetService
RAM ユーザーが OSS バケットをクエリできるようにします。
log:ListProject
RAM ユーザーが Simple Log Service プロジェクトをクエリできるようにします。
actiontrail:*
ActionTrail に対するフル権限を提供します。
例 2: RAM ユーザーに ActionTrail の証跡を管理する権限と、Simple Log Service のログストア、インデックス、ダッシュボード、チャート、およびプロジェクトを管理する権限を付与します。 これにより、RAM ユーザーはアラートを管理できます。
サンプルコード:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "actiontrail:DescribeTrails", "actiontrail:SetDefaultTrail", "actiontrail:GetDefaultTrail", "actiontrail:CreateTrail" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project name/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard" ], "Resource": "acs:log:*:*:project/Project name/dashboard/*" }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project name/job/*" }, { "Effect": "Allow", "Action": [ "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] } ] }権限の説明:
アクション
説明
actiontrail:DescribeTrails
RAM ユーザーが証跡をクエリできるようにします。
actiontrail:SetDefaultTrail
RAM ユーザーがアラートのデフォルトの証跡を指定できるようにします。
actiontrail:GetDefaultTrail
RAM ユーザーがアラートのデフォルトの証跡をクエリできるようにします。
actiontrail:CreateTrail
RAM ユーザーが証跡を作成できるようにします。
log:CreateLogstore
RAM ユーザーがログストアを作成できるようにします。
log:CreateIndex
RAM ユーザーがインデックスを作成できるようにします。
log:UpdateIndex
RAM ユーザーがインデックスを更新できるようにします。
log:CreateDashboard
RAM ユーザーがダッシュボードを作成できるようにします。
log:CreateChart
RAM ユーザーがチャートを作成できるようにします。
log:UpdateDashboard
RAM ユーザーがダッシュボードを更新できるようにします。
log:CreateProject
RAM ユーザーが Simple Log Service プロジェクトを作成できるようにします。
[権限の付与] をクリックします。
[閉じる] をクリックします。
関連情報
RAM ユーザーに権限を付与する方法の詳細については、「RAM ユーザーへの権限の付与」をご参照ください。
操作を呼び出して RAM ユーザーに権限を付与することもできます。 詳細については、「AttachPolicyToUser」をご参照ください。