すべてのプロダクト
Search

このプロダクト

    Simple Log Service:権限アシスタントの構成

    ドキュメントセンター

    Simple Log Service:権限アシスタントの構成

    最終更新日:Nov 09, 2025

    Simple Log Service は、Resource Access Management (RAM) アクセスポリシーの構成を簡素化するための権限アシスタントを提供します。このトピックでは、Simple Log Service コンソールで権限アシスタントを構成する方法について説明します。

    手順

    1. Simple Log Service コンソールにログインします。

    2. プロジェクトセクションで、目的のプロジェクトをクリックします。

      image

    3. 左側のナビゲーションウィンドウで、[その他] > [権限アシスタント] を選択します。

    4. [権限アシスタント] ページで、次のパラメーターを設定し、[次へ] をクリックします。

      利用可能なモードは [プロジェクト][APP] です。

      • プロジェクト

        このモードでは、Simple Log Service のすべての機能に対する権限を設定できます。

        パラメーター

        説明

        プリセットロールの選択

        さまざまなロールに、さまざまな機能モジュールが事前設定されています。プリセットロールを選択するか、機能モジュールを選択してカスタムロールを作成できます。

        機能モジュールの権限には、管理権限と読み取り専用権限が含まれます。必要に応じて権限を選択してください。

        重要

        機能モジュールには次の依存関係があります:

        • 他の機能を使用するには、プロジェクトに対する読み取り専用または管理権限が必要です。

        • データ投入モジュールは Logstore モジュールに依存します。データ投入でいずれかの項目を選択すると、Logstore モジュールがデフォルトで選択されます。

        • 可視化モジュールはデータクエリモジュールに依存します。

        • アラート、サブスクリプション、データ投入 (クラウドネイティブモード) などのモジュールは、可視化モジュールに依存します。アラートおよびサブスクリプションモジュールを使用する場合、可視化モジュールの管理権限がデフォルトで構成されます。

        リソース

        機能モジュールの権限を設定した後、権限を使用できるリソースを指定します。アスタリスク (*) を使用して、1 つ以上のプロジェクトまたは Logstore を照合できます。例:

        • 次の権限を付与された RAM ユーザーまたは RAM ロールは、Simple Log Service のすべてのリソースを管理できます。

          "Action": "log:*",
"Resource": "*",

        • 次の権限を付与された RAM ユーザーまたは RAM ロールは、project01 のリソースのみを管理できます。

          • acs:log:*:*:project/project01
          • acs:log:*:*:project/project01/*

        • 次の権限を付与された RAM ユーザーまたは RAM ロールは、project01 の logstore01 のリソースのみを管理できます。

          • acs:log:*:*:project/project01/logstore/logstore01
          • acs:log:*:*:project/project01/logstore/logstore01/*

        条件

        必要に応じて条件を設定します。詳細については、「ポリシー要素」をご参照ください。

      • APP

        このモードでは、コストマネージャー、ログ監査サービス、K8s イベントセンターなどのアプリケーションの権限を設定できます。

        パラメーター

        説明

        APP リスト

        必要に応じて APP とその権限を選択します。権限には、許可と拒否が含まれます。

        プリセットロールの選択

        APP の権限を [許可] に設定すると、関連する機能モジュールが自動的に選択されます。モジュールを選択してカスタムロールを作成することもできます。

        機能モジュールの権限には、管理権限と読み取り専用権限が含まれます。必要に応じて権限を選択してください。

        重要

        機能モジュールには次の依存関係があります:

        • 他の機能を使用するには、プロジェクトに対する読み取り専用または管理権限が必要です。

        • データ投入モジュールは Logstore モジュールに依存します。データ投入でいずれかの項目を選択すると、Logstore モジュールがデフォルトで選択されます。

        • 可視化モジュールはデータクエリモジュールに依存します。

        • アラート、サブスクリプション、データ投入 (クラウドネイティブモード) などのモジュールは、可視化モジュールに依存します。アラートおよびサブスクリプションモジュールを使用する場合、可視化モジュールの管理権限がデフォルトで構成されます。

        リソース

        システムは選択された APP に基づいてリソースを指定します。リソースは変更できません。

        条件

        必要に応じて条件を設定します。詳細については、「ポリシー要素」をご参照ください。

    5. アクセスポリシーをプレビューして、そのルールを確認します。生成されたポリシーを編集することもできます。完了したら、[次へ] をクリックします。

      操作

      説明

      フォーマット

      手動で編集した JSON コードをフォーマットします。

      圧縮

      アクセスポリシーにはサイズ制限があります。圧縮機能は、余分なスペースと改行を削除します。

      リセット

      手動編集を元に戻します。

      クリップボードにコピー

      エディターの内容をクリップボードにコピーして、後で使用できるようにします。

      カスタムテンプレートに追加

      現在のアクセスポリシーをカスタムポリシステンプレートに追加して、後で使用できるようにします。

      説明

      テンプレートはブラウザのローカル記憶域にのみ保存されます。別のブラウザに切り替えると、テンプレートは利用できません。

    6. カスタムポリシーを作成します。

      1. Alibaba Cloud アカウントまたは管理者権限を持つ RAM ユーザーを使用して RAM コンソールにログインします。

      2. 左側のナビゲーションウィンドウで、[権限] > [ポリシー] を選択します。

      3. [ポリシー] ページで、[ポリシーの作成] をクリックします。

        image

      4. [ポリシーの作成] ページで、[スクリプトエディター] タブをクリックします。エディター内のスクリプトをステップ 5 で取得したアクセスポリシーに置き換え、[OK] をクリックします。

      5. [ポリシーの作成] ダイアログボックスで、[ポリシー名][メモ] を入力し、[OK] をクリックします。

    7. ステップ 6 で作成したアクセスポリシーを、RAM ユーザーや RAM ロールなどのプリンシパルに付与します。詳細については、「RAM ユーザーに権限を付与する」および「RAM ロールに権限を付与する」をご参照ください。

      権限付与が完了すると、プリンシパルを使用できます。

    関連操作

    • 共通ポリシーテンプレートの適用

      [権限アシスタント] タブには、共通ポリシーテンプレートが用意されています。要件に基づいてテンプレートを選択できます。

    • カスタムポリシーテンプレートの適用

      [権限アシスタント] タブでは、カスタムアクセスポリシーをテンプレートとして保存して、後で使用することもできます。

      説明

      カスタムポリシーテンプレートは、ブラウザのローカル記憶域に保存されます。別のブラウザを使用する場合、テンプレートは利用できません。