APIリファレンス (2019-01-01) - RAM认证 - - Alibaba Cloud ドキュメントセンター

RAM (Resource Access Management) ユーザーがCloudMonitor APIを呼び出す前に、RAMユーザーが属するAlibaba CloudアカウントがRAMユーザーにポリシーをアタッチする必要があります。

Resources

CloudMonitorでは、特定のアクションに対する権限のみを付与できます。特定のリソースに対して権限を付与することはできません。リソースを記述するには、すべてのリソースを示すワイルドカード文字 (*) を使用します。

操作

CloudMonitorのアクションは、モニタリングデータのアクションと、CloudMonitorによってモニタリングされるAlibaba Cloudサービスのインスタンスのアクションの2つのタイプに分けられます。 CloudMonitorのモニタリングデータはAlibaba Cloudサービスのモニタリングインスタンスから収集されるため、RAMユーザーには両方のタイプのアクションを実行する権限が必要です。 RAMユーザーが監視対象インスタンスでアクションを実行する権限を持っていない場合、RAMユーザーは監視対象インスタンスの照会、インスタンスから収集されたモニタリングデータの照会、またはモニタリングデータに基づくアラートの設定を行うことはできません。

特別な要件がない場合は、RAMが提供するデフォルトのシステムポリシー (AliyunCloudMonitorFullAccessおよびAliyunCloudMonitorReadOnlyAccess) を使用することを推奨します。この2つのシステムポリシーには、CloudMonitorデータの読み取りと管理の権限と、モニタリング対象のインスタンスのデータの読み取りの権限が含まれています。

システムポリシーが要件を満たせない場合は、カスタムポリシーを設定できます。ポリシーをカスタマイズするときは、ワイルドカード文字 (*) を使用してリソースを記述します。例: cms:Describe *

CloudMonitorを管理する権限を付与するには、アクションをcms:* に設定します。
次のアクションを使用して、CloudMonitorの読み取り専用権限を付与できます。
- cms:Get *
- cms: リスト *
- cms: クエリ *
- cms:BatchQuery *
- cms: 説明 *
- cms: カーソル
- cms:BatchGet
- cms:BatchExport

次の表に、CloudMonitorによってモニタリングされているAlibaba Cloudサービスのインスタンスを照会するためのアクションを示します。

説明

CloudMonitorでモニタリングできるAlibaba Cloudサービスは継続的に更新されます。次の表に、Alibaba Cloudのメインサービスのインスタンスを照会するためのアクションのみを示します。

Alibaba Cloudサービス	Action
Elastic Compute Service (ECS)	`ecs:DescribeInstances`
ApsaraDB RDS	`rds:DescribeDBInstances`
ApsaraDB RDS	`rds:DescribeReplicas`
Server Load Balancer (SLB)	`DescribeLoadBalancer *`
Virtual Private Cloud (VPC)	`vpc:DescribeEipAddresses`
	`vpc:DescribeRouterInterfaces`
	`vpc:DescribeGlobalAccelerationInstances`
	`vpc:DescribeVpnGateways`
	`vpc:DescribeNatGateways`
	`vpc:DescribeBandwidthPackages`
	`vpc: DescribeCommonBandwidthパッケージ`
Object Storage Service (OSS)	`oss:ListBuckets`
Simple Log Service	`log:ListProject`
Alibaba Cloud CDN	`cdn:DescribeUserDomains`
シンプルメッセージキュー (旧MNS)	`mns:ListQueue`
シンプルメッセージキュー (旧MNS)	`mns:ListTopic`
Auto Scaling (ESS)	`ess:DescribeScalingGroups`
ApsaraDB for Memcache	`ocs:DescribeInstances`
ApsaraDB for Redis	`kvstore:DescribeInstances`
ApsaraDB for Redis	`kvstore:DescribeLogicInstanceTopology`
ApsaraDB for HBase	`hbase:DescribeClusterList`
Time Series Database (TSDB)	`hitsdb:DescribeHiTSDBInstanceList`
HybridDB for MySQL	`petadata:DescribeInstances`
HybridDB for MySQL	`petadata:DescribeDatabases`
AnalyticDB for PostgreSQL	`gpdb:DescribeDBInstances`
E-MapReduce	`emr:ListClusters`
OpenSearch	`opensearch:ListApps`
Elasticsearch	`elasticsearch:ListInstance`
ApsaraDB for MongoDB	`mongodb:DescribeDBInstances`
NAT Gateway	`netgateway:DescribeNatGateways`
Anti-DDoSプロキシ	`ddos:DescribeInstancePage`
Cloud Enterprise Network (CEN)	`cen:DescribeCens`
Cloud Enterprise Network (CEN)	`cen:DescribeCenAttachedChildInstances`
ApsaraMQ for Kafka	`kafka:GetKafkaInstanceList`
SCDN	`scdn:DescribeScdnUserDomains`
Dynamic Content Delivery Network (DCDN)	`dcdn:DescribeDcdnUserDomains`
PolarDB	`polardb:DescribeDBInstances`

ほとんどの場合、cms:{操作名} 形式でアクションを指定して、特定のAPI操作に対する権限を付与できます。たとえば、CreateMonitorGroupNotifyPolicyに対する権限のみを付与するには、アクションをcms:CreateMonitorGroupNotifyPolicyに設定します。いくつかのAPI操作のアクションは、上記の形式に準拠していません。次の表に、これらのAPI操作のアクションを示します。

API 操作	Action
CreateHybridMonitorNamespace	cms:CreateCustomNamespace
HybridMonitorNamespaceの削除	cms:DeleteCustomNamespace
PutCustomEvent	cms:PutEvent
DescribeMetricTop	cms:QueryMetricTop
DescribeMetricList	cms:QueryMetricList
DescribeMetricLast	cms:QueryMetricLast
DescribeMetricData	cms:QueryMetricData
DescribeMetricEventList	cms:QueryEvent