すべてのプロダクト
Search
ドキュメントセンター

Server Load Balancer:RAMユーザーにCLBのアクセスログ機能を使用する権限を付与する

最終更新日:Dec 12, 2024

このトピックでは、RAM (Resource Access Management) ユーザーにClassic Load Balancer (CLB) のアクセスログ機能の使用を許可する方法について説明します。 認証を実行するには、Alibaba Cloudアカウントを使用する必要があります。

前提条件

Alibaba Cloudアカウントでアクセスログ機能が有効になっています。 詳細については、「アクセスログ管理機能の有効化」をご参照ください。

ポリシーを作成します。

このセクションでは、JSONタブでカスタムポリシーを作成する方法について説明します。 [Visual editor] タブでポリシーを作成することもできます。 詳細については、「カスタムポリシーの作成」トピックの「Visual editorタブでカスタムポリシーを作成する」セクションを参照してください。

  1. にログインします。RAMコンソール管理者権限を持つRAMユーザーとして

  2. 左側のナビゲーションウィンドウで、権限 > ポリシーを選択します。

  3. ポリシーページで、ポリシーの作成をクリックします。

  4. ポリシーの作成ページで、JSONタブをクリックします。

  5. [JSON] タブで、次のコードを入力し、OKをクリックします。

    {
      "Statement": [
       {
         "Action": [
           "slb:Create*",
           "slb:List*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*"
       },
       {
         "Action": [
           "log:Create*",
           "log:List*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*"
       },
       {
         "Action": [
           "log:Create*",
           "log:List*",
           "log:Get*",
           "log:Update*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*/logstore/*"
       },
       {
         "Action": [
           "log:Create*",
           "log:List*",
           "log:Get*",
           "log:Update*"
         ],
         "Effect": "Allow",
         "Resource": "acs:log:*:*:project/*/dashboard/*"
       },
       {
         "Action": "cms:QueryMetric*",
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": [
           "slb:Describe*",
           "slb:DeleteAccessLogsDownloadAttribute",
           "slb:SetAccessLogsDownloadAttribute",
           "slb:DescribeAccessLogsDownloadAttribute"
         ],
         "Resource": "*",
         "Effect": "Allow"
       },
       {
         "Action": [
           "ram:Get*",
           "ram:ListRoles"
         ],
         "Effect": "Allow",
         "Resource": "*"
       }
      ],
      "Version": "1"
    }
  6. 名前説明フィールドを指定します。

  7. カスタムポリシーの内容を確認して最適化します。

    • 基本的な最適化

      システムは自動的にポリシーステートメントを最適化します。 基本的な最適化中に、システムによって次の操作が実行されます。

      • 不要な条件が削除されます。

      • 不要な配列が削除されます。

    • (オプション) 高度な最適化

      ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。 システムは、高度な最適化中に次の操作を実行します。

      • 操作と互換性のないリソースまたは条件が分割されます。

      • リソースが絞り込まれます。

      • ポリシーステートメントの重複排除またはマージが行われます。

  8. OKクリックします。

RAMユーザーにポリシーをアタッチする

  1. 管理者権限を持つRAMユーザーとして RAMコンソールにログインします。

  2. 左側のナビゲーションウィンドウで、権限 > 助成金を選択します。

  3. 権限ページで、権限付与 をクリックします。

    image

    1. Resource Scopeパラメーターを設定します。

      • アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。

      • リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。

        説明

        [リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。

    2. Principalパラメーターを設定します。

      プリンシパルは、権限を付与するRAMロールです。 一度に複数のRAMロールを選択できます。

    3. Policyパラメーターを設定します。

      ポリシーは一連のアクセス権限です。 一度に複数のポリシーを選択できます。

      • システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。

        説明

        システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。

      • カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。

    4. [権限付与] をクリックします。

  4. [閉じる] をクリックします。 [許可] ページに戻り、ポリシーがRAMユーザーにアタッチされているかどうかを確認します。 ポリシーがRAMユーザーにアタッチされている場合、RAMユーザーはCLBのアクセスログ機能を使用できます。