すべてのプロダクト
Search

このプロダクト

    Simple Log Service:信頼できるエンティティがAlibaba CloudアカウントであるRAMロールを作成し、RAMロールにSimple Log Serviceにアクセスする権限を付与する

    ドキュメントセンター

    Simple Log Service:信頼できるエンティティがAlibaba CloudアカウントであるRAMロールを作成し、RAMロールにSimple Log Serviceにアクセスする権限を付与する

    最終更新日:Aug 30, 2024

    このトピックでは、信頼できるエンティティがAlibaba CloudアカウントであるRAMロールを作成し、RAMロールにSimple Log Serviceにアクセスする権限を付与する方法について説明します。 このタイプのRAMロールは、クロスアカウントアクセスと一時的な権限付与に使用されます。

    背景情報

    ロールとユーザーは、RAMで使用されるIDです。RAMロールは、パスワードやAccessKeyペアなどのアクセス資格情報を持たない仮想IDです。 エンティティユーザーがRAMロールを引き受ける場合、エンティティユーザーはロールのSecurity Token Service (STS) トークンを取得して使用し、許可されたリソースにアクセスできます。 RAMロールは、Alibaba Cloudアカウント、RAMユーザー、またはAlibaba Cloudサービスなどの信頼できるエンティティに割り当てることができます。 詳細については、「RAMロールの概要」をご参照ください。

    ステップ1: RAMロールの作成

    1. RAMコンソール.

    2. 左側のナビゲーションウィンドウで、アイデンティティ > ロール.

    3. ロールページをクリックします。ロールの作成.

    4. ロールタイプの選択ステップ、選択Alibaba Cloudアカウントを信頼できるエンティティとして、次へ.

    5. [ロールの設定] ステップで、パラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。

      パラメーター

      説明

      RAMロール名

      RAMロールの名前を入力します。 例: aliyunlogreadrole.

      RAMロールの説明を入力します。

      [信頼できるAlibaba Cloudアカウント] の選択

      信頼できるAlibaba Cloudアカウントを指定します。

      • 現在のAlibaba Cloudアカウント: Alibaba Cloudアカウントに属するRAMユーザーにRAMロールを引き受けたい場合は、[現在のAlibaba Cloudアカウント] を選択します。

      • その他のAlibaba Cloudアカウント: 別のAlibaba Cloudアカウントに属するRAMユーザーにRAMロールを引き受けたい場合は、その他のAlibaba Cloudアカウントを選択し、Alibaba CloudアカウントのIDを入力します。 このオプションは、Alibaba Cloudアカウント間で権限を付与するために提供されます。

    6. 仕上げステップ、クリック閉じる.

    ステップ2: RAMロールに権限を付与する

    RAMロールを作成した後、RAMロールには権限がありません。 指定されたAlibaba CloudアカウントがRAMロールを引き受けてSimple Log Serviceリソースを管理する前に、必要なシステムポリシーまたはカスタムポリシーをRAMロールにアタッチする必要があります。 RAMは、Simple Log Serviceに次のシステムポリシーを提供します。

    • AliyunLogFullAccess: このポリシーは、すべてのSimple Log Serviceリソースを管理する権限を付与します。

    • AliyunLogReadOnlyAccess: このポリシーは、すべてのSimple Log Serviceリソースに対する読み取り専用権限を付与します。

    システムポリシーがビジネス要件を満たしていない場合は、カスタムポリシーを作成して、きめ細かいアクセス制御を実装できます。 詳細については、「カスタムポリシーの作成」をご参照ください。 ポリシー例の詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」および「概要」をご参照ください。

    RAMロールにポリシーをアタッチするには、次の手順を実行します。 この例では、AliyunLogReadOnlyAccessポリシーが使用されています。

    1. RAMコンソール.

    2. 左側のナビゲーションウィンドウで、アイデンティティ > ロール.

    3. [ロール] ページで、RAMロールを見つけて、権限付与[アクション] 列に表示されます。

    4. 権限付与パネルで、AliyunLogReadOnlyAccessポリシーを選択し、OK.

    5. 承認結果を確認します。 次に、[完了] をクリックします。

    手順3: 信頼できるAlibaba CloudアカウントのRAMユーザーにRAMロールを割り当てる

    信頼できるAlibaba Cloudアカウントを使用して、アカウントのRAMユーザーにAliyunSTSAssumeRoleAccess権限を付与する必要があります。 次に、RAMユーザーはSTSのAssumeRole操作を呼び出すことができます。 権限付与が完了すると、RAMユーザーは手順1: RAMロールの作成で作成したRAMロールを引き受けることができます。

    1. RAMコンソール.

    2. 左側のナビゲーションウィンドウで、[ID] > [ユーザー] を選択します。

    3. [ユーザー] ページで、管理するRAMユーザーを探し、権限の追加[アクション] 列に表示されます。

    4. 権限の追加パネル、见つけて下さいシステムポリシータブを選択し、AliyunSTSAssumeRoleAccessポリシーをクリックし、OK.

    5. 承認結果を確認します。 次に、[完了] をクリックします。

    手順4: RAMロールのSTSトークンの取得

    RAMユーザーにAssumeRole権限を付与すると、RAMユーザーはAssumeRole操作を呼び出して、手順1: RAMロールの作成で作成されたRAMロールの一時的なSTSトークンを取得します。

    説明

    • AssumeRole操作を呼び出す方法の詳細については、「STS SDK For Java」をご参照ください。

    • RAMユーザーが必要なAccessKey ID、AccessKey secret、およびSTSトークンを取得すると、RAMユーザーはSimple Log Service SDKを使用してSimple Log Serviceのリソースにアクセスできます。 詳細については、「Simple Log Service SDKの概要」をご参照ください。