すべてのプロダクト
Search

このプロダクト

    Simple Log Service:権限付与ルール

    ドキュメントセンター

    Simple Log Service:権限付与ルール

    最終更新日:Sep 04, 2024

    Simple Log Serviceでは、RAM (Resource Access Management) のポリシーを使用して、RAMユーザー権限付与、RAMロール権限付与、タグベースの認証、およびクロスサービスアクセス権限付与を実行できます。 このトピックでは、アクションやリソースなど、Simple Log Serviceで定義されているポリシー要素について説明します。 きめ細かいアクセス制御を実行するようにポリシーを設定できます。

    ポリシー

    ポリシーは、ポリシー構造と構文に基づいて記述される一連の権限を定義します。 ポリシーを使用して、権限が付与されたリソースセット、権限が付与された操作セット、および権限付与の条件を記述できます。 ポリシー要素、構造、および構文の詳細については、「ポリシー要素」および「ポリシー構造と構文」をご参照ください。

    RAMは、次の2種類のポリシーをサポートします。

    • システムポリシー: システムポリシーはAlibaba Cloudによって作成およびアップグレードされます。 システムポリシーは使用できますが、変更することはできません。

    • カスタムポリシー: ビジネス要件を満たすように、カスタムポリシーを作成、変更、削除、およびアップグレードできます。

    1つ以上のポリシーをRAM IDにアタッチできます。 詳細については、「RAMユーザーへの権限の付与」、「RAMユーザーグループへの権限の付与」、および「RAMロールへの権限の付与」をご参照ください。

    ポリシー要素

    ポリシーの概念と構文の詳細については、「ポリシー要素」をご参照ください。

    要素

    説明

    Effect

    ステートメントの結果が明示的な許可か、明示的な拒否かを指定します。 有効な値は、Allow および Deny です。

    Action

    許可または拒否される、1 つまたは複数の API 操作について説明します。

    Resource

    ステートメントが対象とする、1 つまたは複数のオブジェクトを指定します。

    Condition

    ポリシーの適用に必要な条件を指定します。

    依頼人

    リソースへのアクセスを許可または拒否するプリンシパルを指定します。 この要素は、RAMロールを引き受ける信頼済みエンティティを指定する信頼ポリシーなど、リソースベースのポリシーでのみ使用できます。

    手順

    1. アカウント管理者を作成します。

      Alibaba Cloudアカウントには、アカウント内のリソースに対する完全な管理権限があります。 Alibaba Cloudアカウントを使用した送信元IPアドレスやアクセス期間の制限などの制限を課すことはできません。 Alibaba Cloudアカウントが複数のユーザーで共有されている場合、監査ログで特定のユーザーを特定することはできません。 Alibaba Cloudアカウントが公開されると、セキュリティリスクが発生する可能性があります。 毎日のO&M操作にAlibaba Cloudアカウントを使用しないことを推奨します。

      Alibaba Cloudアカウントを使用してRAMにRAMユーザーを作成し、RAMユーザーにAdministratorAccessポリシーをアタッチできます。 その後、RAMユーザーをアカウント管理者として使用して、Alibaba cloudアカウントに属するすべてのクラウドリソースを管理できます。 アカウント管理者を使用して、アクセス制御用の複数のRAMユーザーを作成できます。

    2. カスタムポリシーを作成します。

      RAMには、システムポリシーとカスタムポリシーの2種類のポリシーがあります。 システムポリシーはAlibaba Cloudによって作成および更新されます。 システムポリシーを使用することはできますが、変更することはできません。 システムポリシーが要件を満たせない場合は、カスタムポリシーを作成して、きめ細かいアクセス制御を実行できます。

    3. RAMユーザーまたはRAMロールを作成し、必要な権限を付与します。

      • RAMユーザーを作成し、そのユーザーに権限を付与します

        RAMユーザーを作成し、RAMユーザーにさまざまなリソースへのアクセス権限を付与できます。

        企業内の複数のユーザーがリソースにアクセスする必要がある場合は、RAMを使用して、最小権限の原則に従ってユーザーに権限を割り当てることができます。 これにより、ユーザーがAlibaba Cloudアカウントのユーザー名とパスワードまたはAccessKeyペアを共有できなくなり、セキュリティリスクが軽減されます。

      • RAMユーザーグループを作成し、そのグループに権限を付与します

        RAMユーザーグループは物理IDです。 RAMユーザーグループを作成して、RAMユーザーを分類し、同じ責任を持つRAMユーザーに権限を付与できます。 これにより、RAMユーザーとその権限の管理が簡素化されます。

      • RAMロールを作成し、必要なポリシーをロールにアタッチします

        RAMロールは、ポリシーをアタッチできる仮想IDです。 RAMロールには、ログインパスワードやAccessKeyペアなどの永続的なID資格情報はありません。 RAMロールは、信頼できるエンティティによってロールが引き受けられた後にのみ使用できます。 RAMロールが信頼できるエンティティによって引き受けられると、信頼できるエンティティはSecurity Token Service (STS) トークンを取得できます。 次に、信頼できるエンティティはSTSトークンを使用して、RAMロールとしてAlibaba Cloudリソースにアクセスできます。 RAMロールの使用方法の詳細については、「RAMロールの使用」をご参照ください。

    Action

    Action要素はlog :${ API name} 形式です。 ${API name} は、Simple Log Service API操作の名前を指定します。 Simple Log Serviceが提供するAPI操作の詳細については、「関数別の操作のリスト」をご参照ください。

    ポリシーを作成するときは、複数のアクションをコンマ (,) で区切ります。 ワイルドカード文字としてアスタリスク (*) を使用できます。 例: log:Create * Create * は、CreateProductCreateThingModelCreateProductTopicなど、Createで始まるAPI操作名を指定します。

    重要

    GetCursorまたはGetCursorTime操作の権限を付与する場合は、ポリシーを作成するときにAction要素にlog:GetCursorOrDataを指定する必要があります。

    Resource

    Simple Log Serviceのリソースは階層に編成されます。 プロジェクトはルートリソースです。 Logstore、Logtail設定、およびマシングループは、プロジェクトの並列サブリソースです。 ログシッピングジョブとコンシューマーグループは、Logstoreのサブリソースです。

    リソースタイプ

    ARN

    プロジェクト

    acs:log :${ regionName }:${ uid}:project/${projectName}

    acs:log :${ regionName }:${ uid}:project/*

    プロジェクト: Logstore

    acs:log :${ regionName }:${ uid}:project/${projectName}/logstore/${logstoreName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/logstore/*

    プロジェクト: Logstore:Shipper

    acs:log :${ regionName }:${ uid}:project/${projectName}/logstore/${logstoreName}/shipper/${shipperName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/logstore/${logstoreName}/shipper/*

    プロジェクト: 構成

    acs:log :${ regionName }:${ uid}:project/${projectName}/logtailconfig/${logtailConfigName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/logtailconfig/*

    プロジェクト: MachineGroup

    acs:log :${ regionName }:${ uid}:project/${projectName}/machinegroup/${machineGroupName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/machinegroup/*

    プロジェクト: ConsumerGroup

    acs:log :${ regionName }:${ uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/${consumerGroupName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/logstore/${logstoreName}/consumergroup/*

    プロジェクト: SavedSearch

    acs:log :${ regionName }:${ uid}:project/${projectName}/savedsearch/${savedSearchName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/savedsearch/*

    プロジェクト: ダッシュボード

    acs:log :${ regionName }:${ uid}:project/${projectName}/dashboard/${dashboardName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/dashboard/*

    プロジェクト: 警報

    acs:log :${ regionName }:${ uid}:project/${projectName}/alert/${alarmName}

    acs:log :${ regionName }:${ uid}:project/${projectName}/alert/*

    すべてのタイプのリソース

    acs:log :${ regionName }:${ uid}:*

    acs:log:* :${ uid}:*

    Parameters

    パラメーター

    説明

    ${regionName}

    リージョンの名前。

    ${uid}

    Alibaba Cloud アカウントの ID。

    ${projectName}

    プロジェクトの名前。

    ${logstoreName}

    Logstoreの名前。

    ${logtailconfig}

    Logtail構成の名前。

    ${machineGroupName}

    マシングループの名前。

    ${shipperName}

    ログ配布ジョブの名前。

    ${consumerGroupName}

    コンシューマーグループの名前。

    ${savedSearchName}

    保存された検索の名前。

    ${dashboardName}

    ダッシュボードの名前。

    ${alarmName}

    アラートルール名。