すべてのプロダクト
Search
ドキュメントセンター

:RAM権限付与

最終更新日:Dec 06, 2024

RAM (Resource Access Management) ユーザーがCloudMonitor APIを呼び出す前に、RAMユーザーが属するAlibaba CloudアカウントがRAMユーザーにポリシーをアタッチする必要があります。

Resources

CloudMonitorでは、特定のアクションに対する権限のみを付与できます。 特定のリソースに対して権限を付与することはできません。 リソースを記述するには、すべてのリソースを示すワイルドカード文字 (*) を使用します。

操作

CloudMonitorのアクションは、モニタリングデータのアクションと、CloudMonitorによってモニタリングされるAlibaba Cloudサービスのインスタンスのアクションの2つのタイプに分けられます。 CloudMonitorのモニタリングデータはAlibaba Cloudサービスのモニタリングインスタンスから収集されるため、RAMユーザーには両方のタイプのアクションを実行する権限が必要です。 RAMユーザーが監視対象インスタンスでアクションを実行する権限を持っていない場合、RAMユーザーは監視対象インスタンスの照会、インスタンスから収集されたモニタリングデータの照会、またはモニタリングデータに基づくアラートの設定を行うことはできません。

特別な要件がない場合は、RAMが提供するデフォルトのシステムポリシー (AliyunCloudMonitorFullAccessおよびAliyunCloudMonitorReadOnlyAccess) を使用することを推奨します。 この2つのシステムポリシーには、CloudMonitorデータの読み取りと管理の権限と、モニタリング対象のインスタンスのデータの読み取りの権限が含まれています。

システムポリシーが要件を満たせない場合は、カスタムポリシーを設定できます。 ポリシーをカスタマイズするときは、ワイルドカード文字 (*) を使用してリソースを記述します。 例: cms:Describe *

  • CloudMonitorを管理する権限を付与するには、アクションをcms:* に設定します。

  • 次のアクションを使用して、CloudMonitorの読み取り専用権限を付与できます。

    • cms:Get *

    • cms: リスト *

    • cms: クエリ *

    • cms:BatchQuery *

    • cms: 説明 *

    • cms: カーソル

    • cms:BatchGet

    • cms:BatchExport

  • 次の表に、CloudMonitorによってモニタリングされているAlibaba Cloudサービスのインスタンスを照会するためのアクションを示します。

    説明

    CloudMonitorでモニタリングできるAlibaba Cloudサービスは継続的に更新されます。 次の表に、Alibaba Cloudのメインサービスのインスタンスを照会するためのアクションのみを示します。

    Alibaba Cloud サービス

    Action

    Elastic Compute Service (ECS)

    ecs:DescribeInstances

    ApsaraDB RDS

    rds:DescribeDBInstances

    rds:DescribeReplicas

    Server Load Balancer (SLB)

    DescribeLoadBalancer *

    Virtual Private Cloud (VPC)

    vpc:DescribeEipAddresses

    vpc:DescribeRouterInterfaces

    vpc:DescribeGlobalAccelerationInstances

    vpc:DescribeVpnGateways

    vpc:DescribeNatGateways

    vpc:DescribeBandwidthPackages

    vpc: DescribeCommonBandwidthパッケージ

    Object Storage Service (OSS)

    oss:ListBuckets

    Simple Log Service

    log:ListProject

    Alibaba Cloud CDN

    cdn:DescribeUserDomains

    シンプルメッセージキュー (旧MNS)

    mns:ListQueue

    mns:ListTopic

    Auto Scaling (ESS)

    ess:DescribeScalingGroups

    ApsaraDB for Memcache

    ocs:DescribeInstances

    Tair (Redis OSS互換)

    kvstore:DescribeInstances

    kvstore:DescribeLogicInstanceTopology

    ApsaraDB for HBase

    hbase:DescribeClusterList

    Time Series Database (TSDB)

    hitsdb:DescribeHiTSDBInstanceList

    HybridDB for MySQL

    petadata:DescribeInstances

    petadata:DescribeDatabases

    AnalyticDB for PostgreSQL

    gpdb:DescribeDBInstances

    E-MapReduce

    emr:ListClusters

    OpenSearch

    opensearch:ListApps

    Elasticsearch

    elasticsearch:ListInstance

    ApsaraDB for MongoDB

    mongodb:DescribeDBInstances

    NAT Gateway

    netgateway:DescribeNatGateways

    Anti-DDoSプロキシ

    ddos:DescribeInstancePage

    Cloud Enterprise Network (CEN)

    cen:DescribeCens

    cen:DescribeCenAttachedChildInstances

    ApsaraMQ for Kafka

    kafka:GetKafkaInstanceList

    SCDN

    scdn:DescribeScdnUserDomains

    Dynamic Content Delivery Network (DCDN)

    dcdn:DescribeDcdnUserDomains

    PolarDB

    polardb:DescribeDBInstances

  • ほとんどの場合、cms:{操作名} 形式でアクションを指定して、特定のAPI操作に対する権限を付与できます。 たとえば、CreateMonitorGroupNotifyPolicyに対する権限のみを付与するには、アクションをcms:CreateMonitorGroupNotifyPolicyに設定します。 いくつかのAPI操作のアクションは、上記の形式に準拠していません。 次の表に、これらのAPI操作のアクションを示します。

    API 操作

    Action

    CreateHybridMonitorNamespace

    cms:CreateCustomNamespace

    HybridMonitorNamespaceの削除

    cms:DeleteCustomNamespace

    PutCustomEvent

    cms:PutEvent

    DescribeMetricTop

    cms:QueryMetricTop

    DescribeMetricList

    cms:QueryMetricList

    DescribeMetricLast

    cms:QueryMetricLast

    DescribeMetricData

    cms:QueryMetricData

    DescribeMetricEventList

    cms:QueryEvent