このトピックでは、RAM (Resource Access Management) ユーザーにClassic Load Balancer (CLB) のアクセスログ機能の使用を許可する方法について説明します。 認証を実行するには、Alibaba Cloudアカウントを使用する必要があります。
前提条件
Alibaba Cloudアカウントでアクセスログ機能が有効になっています。 詳細については、「アクセスログ管理機能の有効化」をご参照ください。
ポリシーを作成します。
このセクションでは、JSONタブでカスタムポリシーを作成する方法について説明します。 [Visual editor] タブでポリシーを作成することもできます。 詳細については、「カスタムポリシーの作成」トピックの「Visual editorタブでカスタムポリシーを作成する」セクションを参照してください。
にログインします。RAMコンソール管理者権限を持つRAMユーザーとして
左側のナビゲーションウィンドウで、を選択します。
ポリシーページで、ポリシーの作成をクリックします。
ポリシーの作成ページで、JSONタブをクリックします。
[JSON] タブで、次のコードを入力し、OKをクリックします。
{ "Statement": [ { "Action": [ "slb:Create*", "slb:List*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*" }, { "Action": [ "log:Create*", "log:List*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*" }, { "Action": [ "log:Create*", "log:List*", "log:Get*", "log:Update*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*/logstore/*" }, { "Action": [ "log:Create*", "log:List*", "log:Get*", "log:Update*" ], "Effect": "Allow", "Resource": "acs:log:*:*:project/*/dashboard/*" }, { "Action": "cms:QueryMetric*", "Resource": "*", "Effect": "Allow" }, { "Action": [ "slb:Describe*", "slb:DeleteAccessLogsDownloadAttribute", "slb:SetAccessLogsDownloadAttribute", "slb:DescribeAccessLogsDownloadAttribute" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "ram:Get*", "ram:ListRoles" ], "Effect": "Allow", "Resource": "*" } ], "Version": "1" }
名前と説明フィールドを指定します。
カスタムポリシーの内容を確認して最適化します。
基本的な最適化
システムは自動的にポリシーステートメントを最適化します。 基本的な最適化中に、システムによって次の操作が実行されます。
不要な条件が削除されます。
不要な配列が削除されます。
(オプション) 高度な最適化
ポインタを [オプション: 高度な最適化] に移動し、[実行] をクリックします。 システムは、高度な最適化中に次の操作を実行します。
操作と互換性のないリソースまたは条件が分割されます。
リソースが絞り込まれます。
ポリシーステートメントの重複排除またはマージが行われます。
OKをクリックします。
RAMユーザーにポリシーをアタッチする
管理者権限を持つRAMユーザーとして RAMコンソールにログインします。
左側のナビゲーションウィンドウで、を選択します。
権限ページで、権限付与 をクリックします。
Resource Scopeパラメーターを設定します。
アカウント: 権限付与は、現在のAlibaba Cloudアカウントで有効になります。
リソースグループ: 権限付与は、特定のリソースグループに対して有効になります。
説明[リソーススコープ] パラメーターで [リソースグループ] を選択した場合、必要なクラウドサービスがリソースグループをサポートしていることを確認します。 詳細については、「リソースグループで動作するサービス」をご参照ください。
Principalパラメーターを設定します。
プリンシパルは、権限を付与するRAMロールです。 一度に複数のRAMロールを選択できます。
Policyパラメーターを設定します。
ポリシーは一連のアクセス権限です。 一度に複数のポリシーを選択できます。
システムポリシー: Alibaba Cloudによって作成されたポリシー。 これらのポリシーは使用できますが、変更することはできません。 ポリシーのバージョン更新は、Alibaba Cloudによって管理されます。 詳細については、「RAMで動作するサービス」をご参照ください。
説明システムは、AdministratorAccessやAliyunRAMFullAccessなどのリスクの高いシステムポリシーを自動的に識別します。 リスクの高いポリシーをアタッチして、不要な権限を付与しないことを推奨します。
カスタムポリシー: ビジネス要件に基づいてカスタムポリシーを管理および更新できます。 カスタムポリシーは作成、更新、削除できます。 詳細については、「カスタムポリシーの作成」をご参照ください。
[権限付与] をクリックします。
[閉じる] をクリックします。 CLBのアクセスログ機能を使用できます。 ページに戻り、ポリシーがRAMユーザーにアタッチされているかどうかを確認します。 ポリシーがRAMユーザーにアタッチされている場合、RAMユーザーは