RAM (Resource Access Management) ユーザーがCloudMonitor APIを呼び出す前に、RAMユーザーが属するAlibaba CloudアカウントがRAMユーザーにポリシーをアタッチする必要があります。
Resources
CloudMonitorでは、特定のアクションに対する権限のみを付与できます。 特定のリソースに対して権限を付与することはできません。 リソースを記述するには、すべてのリソースを示すワイルドカード文字 (*
) を使用します。
操作
CloudMonitorのアクションは、モニタリングデータのアクションと、CloudMonitorによってモニタリングされるAlibaba Cloudサービスのインスタンスのアクションの2つのタイプに分けられます。 CloudMonitorのモニタリングデータはAlibaba Cloudサービスのモニタリングインスタンスから収集されるため、RAMユーザーには両方のタイプのアクションを実行する権限が必要です。 RAMユーザーが監視対象インスタンスでアクションを実行する権限を持っていない場合、RAMユーザーは監視対象インスタンスの照会、インスタンスから収集されたモニタリングデータの照会、またはモニタリングデータに基づくアラートの設定を行うことはできません。
特別な要件がない場合は、RAMが提供するデフォルトのシステムポリシー (AliyunCloudMonitorFullAccessおよびAliyunCloudMonitorReadOnlyAccess) を使用することを推奨します。 この2つのシステムポリシーには、CloudMonitorデータの読み取りと管理の権限と、モニタリング対象のインスタンスのデータの読み取りの権限が含まれています。
システムポリシーが要件を満たせない場合は、カスタムポリシーを設定できます。 ポリシーをカスタマイズするときは、ワイルドカード文字 (*
) を使用してリソースを記述します。 例: cms:Describe *
CloudMonitorを管理する権限を付与するには、アクションを
cms:*
に設定します。次のアクションを使用して、CloudMonitorの読み取り専用権限を付与できます。
cms:Get *
cms: リスト *
cms: クエリ *
cms:BatchQuery *
cms: 説明 *
cms: カーソル
cms:BatchGet
cms:BatchExport
次の表に、CloudMonitorによってモニタリングされているAlibaba Cloudサービスのインスタンスを照会するためのアクションを示します。
説明CloudMonitorでモニタリングできるAlibaba Cloudサービスは継続的に更新されます。 次の表に、Alibaba Cloudのメインサービスのインスタンスを照会するためのアクションのみを示します。
Alibaba Cloud サービス
Action
Elastic Compute Service (ECS)
ecs:DescribeInstances
ApsaraDB RDS
rds:DescribeDBInstances
rds:DescribeReplicas
Server Load Balancer (SLB)
DescribeLoadBalancer *
Virtual Private Cloud (VPC)
vpc:DescribeEipAddresses
vpc:DescribeRouterInterfaces
vpc:DescribeGlobalAccelerationInstances
vpc:DescribeVpnGateways
vpc:DescribeNatGateways
vpc:DescribeBandwidthPackages
vpc: DescribeCommonBandwidthパッケージ
Object Storage Service (OSS)
oss:ListBuckets
Simple Log Service
log:ListProject
Alibaba Cloud CDN
cdn:DescribeUserDomains
シンプルメッセージキュー (旧MNS)
mns:ListQueue
mns:ListTopic
Auto Scaling (ESS)
ess:DescribeScalingGroups
ApsaraDB for Memcache
ocs:DescribeInstances
Tair (Redis OSS互換)
kvstore:DescribeInstances
kvstore:DescribeLogicInstanceTopology
ApsaraDB for HBase
hbase:DescribeClusterList
Time Series Database (TSDB)
hitsdb:DescribeHiTSDBInstanceList
HybridDB for MySQL
petadata:DescribeInstances
petadata:DescribeDatabases
AnalyticDB for PostgreSQL
gpdb:DescribeDBInstances
E-MapReduce
emr:ListClusters
OpenSearch
opensearch:ListApps
Elasticsearch
elasticsearch:ListInstance
ApsaraDB for MongoDB
mongodb:DescribeDBInstances
NAT Gateway
netgateway:DescribeNatGateways
Anti-DDoSプロキシ
ddos:DescribeInstancePage
Cloud Enterprise Network (CEN)
cen:DescribeCens
cen:DescribeCenAttachedChildInstances
ApsaraMQ for Kafka
kafka:GetKafkaInstanceList
SCDN
scdn:DescribeScdnUserDomains
Dynamic Content Delivery Network (DCDN)
dcdn:DescribeDcdnUserDomains
PolarDB
polardb:DescribeDBInstances
ほとんどの場合、
cms:{操作名}
形式でアクションを指定して、特定のAPI操作に対する権限を付与できます。 たとえば、CreateMonitorGroupNotifyPolicyに対する権限のみを付与するには、アクションをcms:CreateMonitorGroupNotifyPolicy
に設定します。 いくつかのAPI操作のアクションは、上記の形式に準拠していません。 次の表に、これらのAPI操作のアクションを示します。API 操作
Action
CreateHybridMonitorNamespace
cms:CreateCustomNamespace
HybridMonitorNamespaceの削除
cms:DeleteCustomNamespace
PutCustomEvent
cms:PutEvent
DescribeMetricTop
cms:QueryMetricTop
DescribeMetricList
cms:QueryMetricList
DescribeMetricLast
cms:QueryMetricLast
DescribeMetricData
cms:QueryMetricData
DescribeMetricEventList
cms:QueryEvent