Log Serviceは権限アシスタント機能を提供します。 この機能を使用すると、Log Serviceリソースに対する権限をRAMユーザーまたはRAMロールに簡単に付与できます。 このトピックでは、Log Serviceコンソールで権限アシスタント機能を設定する方法について説明します。
手順
[プロジェクト] セクションで、管理するプロジェクトをクリックします。
左側のナビゲーションウィンドウで、 を選択します。
[権限アシスタント] ページで、[ポリシーの設定] ステップで次のパラメーターを設定し、[次へ] をクリックします。
[モードの選択] セクションで、[プロジェクト] または [アプリ] を選択できます。
プロジェクト
選択モードでプロジェクトを選択した場合、Log Serviceのすべての機能モジュールに権限を付与できます。
パラメーター
説明
シナリオの選択
異なるシナリオは、異なる機能モジュールに関連付けられる。 ビジネス要件に基づいてシナリオを選択できます。 シナリオを選択すると、Log Serviceはシナリオに関連付けられている機能モジュールを自動的に選択します。 特定の機能モジュールを選択してカスタムシナリオを作成することもできます。
機能モジュールの権限には、管理権限と読み取り専用権限が含まれます。 ビジネス要件に基づいて権限を選択できます。
重要機能モジュールには次の関係があります。
他の機能モジュールを使用する前に、プロジェクトモジュールに対して読み取り専用権限または管理権限を付与する必要があります。
データインポートモジュールは、Logstoreモジュールに基づいています。 データインポートモジュールのサブモジュールを選択した場合、Log Serviceは自動的にLogstoreモジュールを選択します。
Visualizationサブモジュールは、Data Queryサブモジュールに基づいています。
Cloud Productsによってインポートされるアラート、サブスクライブ、およびデータサブモジュールは、Visualizationサブモジュールに基づいています。 [アラート] および [サブスクライブ] サブモジュールを選択した場合、Log Serviceは自動的にVisualizationサブモジュールの管理権限を付与します。
Resources
機能モジュールのアクセス許可を設定した後、アクセス許可を付与するリソースを指定できます。 アスタリスク (
*) を使用して、1つ以上のプロジェクトまたはLogstoreと照合できます。 例:次の権限が付与されたRAMユーザーまたはRAMロールは、Log Serviceのすべてのリソースを管理できます。
"Action": "log:*", "Resource": "*",次の権限が付与されたRAMユーザーまたはRAMロールは、project01のリソースのみを管理できます。
acs:log:*:*:project/project01acs:log:*:*:project/project01/*
次の権限が付与されているRAMユーザーまたはRAMロールは、project01のlogstore01のリソースのみを管理できます。
acs:log:*:*:project/project01/logstore/logstore01acs:log:*:*:project/project01/logstore/logstore01/*
条件
ビジネス要件に基づいて権限を付与する条件を指定できます。 詳細については、「ポリシー要素」をご参照ください。
アプリ
選択モードとしてAPPを選択した場合、Cost Manager、Log Audit Service、およびK8s Event Centerアプリケーションに対する権限のみを付与できます。
パラメーター
説明
アプリ
権限を付与するアプリケーションを選択します。 アプリケーションに許可または拒否権限を付与できます。
シナリオの選択
アプリケーションに [許可] 権限を付与してシナリオを選択すると、Log Serviceはシナリオに関連付けられている機能モジュールを自動的に選択します。 特定の機能モジュールを選択してカスタムシナリオを作成することもできます。
機能モジュールの権限には、管理権限と読み取り専用権限が含まれます。 ビジネス要件に基づいて権限を選択できます。
重要機能モジュールには次の関係があります。
他の機能モジュールを使用する前に、プロジェクトモジュールに対して読み取り専用権限または管理権限を付与する必要があります。
データインポートモジュールは、Logstoreモジュールに基づいています。 データインポートモジュールのサブモジュールを選択した場合、Log Serviceは自動的にLogstoreモジュールを選択します。
Visualizationサブモジュールは、Data Queryサブモジュールに基づいています。
Cloud Productsによってインポートされるアラート、サブスクライブ、およびデータサブモジュールは、Visualizationサブモジュールに基づいています。 [アラート] および [サブスクライブ] サブモジュールを選択した場合、Log Serviceは自動的にVisualizationサブモジュールの管理権限を付与します。
Resources
アプリケーションを選択すると、Log Serviceは関連するリソースを自動的に指定します。 関連するリソースは変更できません。
条件
ビジネス要件に基づいて権限を付与する条件を指定できます。 詳細については、「ポリシー要素」をご参照ください。
[ポリシーのプレビュー] ステップで、ポリシーをプレビューおよび編集します。 次の表に、実行できる操作を示します。 ポリシーを確認または編集した後、[次へ] をクリックします。
API 操作
説明
Format
ポリシーを編集した後、JSONポリシーをフォーマットします。
圧縮
権限ポリシーの行数は、指定した数を超えることはできません。 [圧縮] をクリックすると、冗長スペースと改行を削除できます。
リセット
ポリシーの内容をリセットします。
クリップボードにコピー
さらに使用するために、ポリシーの内容をクリップボードにコピーします。
カスタムテンプレートに追加
さらに使用するために、ポリシーをカスタムポリシーテンプレートとして追加します。
説明カスタムポリシーテンプレートは、現在のブラウザのローカルストレージにのみ保存されます。 別のブラウザを使用している場合、テンプレートにアクセスできません。
カスタムポリシーを作成します。
プリンシパルに必要な権限を付与します。 プリンシパルは、RAMユーザーまたはRAMロールです。
左側のナビゲーションウィンドウで、 を選択します。
表示されるページで、[権限付与] をクリックします。
[権限付与] パネルで、[許可されたスコープ] および [プリンシパル] パラメーターを設定します。 [ポリシーの選択] セクションで、[カスタムポリシー] をクリックし、ステップ6で作成したポリシーを選択し、[OK] をクリックします。
プリンシパルに必要な権限が付与されたら、プリンシパルを使用できます。
次のステップ
共通ポリシーテンプレートの適用
[権限アシスタント] ページで、ビジネス要件に基づいて共通のポリシーテンプレートを選択できます。
カスタムポリシーテンプレートの適用
[権限アシスタント] ページで、[ポリシーのプレビュー] ステップでカスタムポリシーをカスタムポリシーテンプレートとして追加して、さらに使用することができます。
説明カスタムポリシーテンプレートは、現在のブラウザのローカルストレージに保存されます。 別のブラウザを使用している場合、テンプレートにアクセスできません。