このトピックでは、Resource Access Management (RAM) ユーザーに Quality of Service (QoS) ポリシーとフローログを使用するための権限を付与する方法について説明します。
手順
RAM ユーザーにアタッチされている RAM ポリシーを表示します。
Alibaba Cloud アカウントを使用して、RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[権限の付与] ページで、管理する RAM ユーザーを見つけ、その RAM ユーザーにアタッチされている権限ポリシーを表示します。
AliyunSmartAccessGatewayFullAccess ポリシーが RAM ユーザーにアタッチされている場合、RAM ユーザーは他の権限なしで QoS ポリシーとフローログを使用できます。
AliyunSmartAccessGatewayFullAccess ポリシーと AliyunLogFullAccess ポリシーが RAM ユーザーにアタッチされている場合、RAM ユーザーは他の権限なしでフローログを使用できます。[aliyunsmartaccessgatewayfullaccess] と [aliyunlogfullaccess] をクリックして詳細を表示できます。
説明RAM ユーザーがアタッチされているポリシーを照会できるように、AliyunRAMReadOnlyAccess ポリシーを RAM ユーザーにアタッチすることをお勧めします。
次のコードブロックは、AliyunSmartAccessGatewayFullAccess ポリシーの内容を示しています。
{ "Version": "1", "Statement": [ { "Action": "smartag:*", "Resource": "*", "Effect": "Allow" } ] }次のコードブロックは、AliyunLogFullAccess ポリシーの内容を示しています。
{ "Version": "1", "Statement": [ { "Action": "log:*", "Resource": "*", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "audit.log.aliyuncs.com", "alert.log.aliyuncs.com", "middlewarelens.log.aliyuncs.com", "storagelens.log.aliyuncs.com", "ai-lens.log.aliyuncs.com", "securitylens.log.aliyuncs.com" ] } } } ] }次のコードブロックは、AliyunRAMReadOnlyAccess ポリシーの内容を示しています。
{ "Version": "1", "Statement": [ { "Action": [ "ram:Get*", "ram:List*", "ram:GenerateCredentialReport" ], "Resource": "*", "Effect": "Allow" } ] }
AliyunSmartAccessGatewayFullAccess RAM ポリシーが RAM ユーザーにアタッチされていない場合は、カスタムポリシーを作成して RAM ユーザーにアタッチできます。 これにより、RAM ユーザーに必要な権限が付与されます。
RAM ユーザーが QoS ポリシーとフローログを使用する必要がある場合は、次の手順を実行して、カスタムポリシーを作成し RAM ユーザーにアタッチします。
RAM コンソール にログオンします。
左側のナビゲーションウィンドウで、 を選択します。
[ポリシー] ページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックし、次のパラメーターを設定してから [OK] をクリックします。
[名前]: カスタムポリシーの名前を入力します。
説明: ポリシーの説明を入力します。
[ポリシードキュメント]: ポリシーの内容を入力します。
QoS ポリシー
{ "Version": "1", "Statement": [ { "Action": [ "smartag:AssociateQos", // QoSを関連付ける "smartag:CreateQos", // QoSを作成する "smartag:CreateQosCar", // QoS Carを作成する "smartag:CreateQosPolicy", // QoSポリシーを作成する "smartag:DeleteQosCar", // QoS Carを削除する "smartag:DeleteQosPolicy", // QoSポリシーを削除する "smartag:DescribeQosCars", // QoS Carを取得する "smartag:DescribeQosPolicies", // QoSポリシーを取得する "smartag:DisassociateQos", // QoSの関連付けを解除する "smartag:GetQosAttribute", // QoS属性を取得する "smartag:ModifyQos", // QoSを変更する "smartag:ModifyQosCar", // QoS Carを変更する "smartag:ModifyQosPolicy" // QoSポリシーを変更する ], "Resource": "*", "Effect": "Allow" } ] }フローログ
{ "Version": "1", "Statement": [ { "Action": [ "smartag:ActiveFlowLog", // フローログをアクティブにする "smartag:AssociateFlowLog", // フローログを関連付ける "smartag:CreateFlowLog", // フローログを作成する "smartag:DeactiveFlowLog", // フローログを非アクティブにする "smartag:DescribeFlowLogSags", // フローログ SAGを取得する "smartag:DisassociateFlowLog", // フローログの関連付けを解除する "smartag:ModifyFlowLogAttribute" // フローログ属性を変更する ], "Resource": "*", "Effect": "Allow" } ] }
詳細については、「カスタムポリシーの作成」をご参照ください。
左側のナビゲーションウィンドウで、 を選択します。
[ユーザー] ページで、RAM ユーザーを見つけ、権限の追加[アクション] 列の をクリックします。
[権限の追加] パネルで、[承認済みスコープ] と [プリンシパル] を確認します。
[ポリシーの選択] セクションで、[カスタムポリシー] をクリックし、手順 2 で作成したカスタムポリシーを選択し、[OK] をクリックします。
上記の手順を完了した後、手順 1 を実行して、RAM ユーザーにアタッチされているポリシーを表示できます。
RAM ユーザーに AliyunLogFullAccess ポリシーまたは AliyunRAMReadOnlyAccess ポリシーがない場合は、関連する権限を RAM ユーザーに付与します。 詳細については、「ポリシー参照の管理」をご参照ください。