他のクラウドサービスのリソースにアクセスする前に、AliyunServiceRoleForSLSAlertサービスにリンクされたロールを使用してLog Serviceに必要な権限を付与する必要があります。 このトピックでは、AliyunServiceRoleForSLSAlertサービスにリンクされたロールのシナリオとポリシーについて説明します。
シナリオ
次のシナリオでは、AliyunServiceRoleForSLSAlertサービスにリンクされたロールを使用できます。
log Serviceコンソールにログインすることなく、アラートの詳細を表示し、アラート通知に基づいてアラートを管理します。
たとえば、DingTalkチャットボットからアラート通知を受け取った後、通知内のリンクをクリックしてアラートの詳細を表示し、アラートを管理できます。 PCを使用してlog Serviceコンソールにログインする必要はありません。
アラート機能を他のクラウドサービスと統合します。
たとえば、アクショングループを作成するときに、通知方法としてFunction ComputeやEventBridgeなどのクラウドサービスを選択できます。
必要な情報を収集するには、Log ServiceがAliyunServiceRoleForSLSAlertサービスにリンクされたロールを引き受けて、クラウドサービスのリソースの読み取りと変更に必要な権限を取得する必要があります。 詳細については、「サービスにリンクされたロール」をご参照ください。
説明
ロール名: AliyunServiceRoleForSLSAlert
ロールに添付されたポリシー: AliyunServiceRolePolicyForSLSAlert
ポリシー文書:
{ "Version": "1", "Statement": [ { "Action": [ "log:GetJob", "log:UpdateJob", "log:GetResource", "log:ListResources", "log:GetResourceRecord", "log:ListResourceRecords", "log:UpdateResourceRecords" ], "Resource": [ "acs:log:*:*:project/*" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs" ], "Resource": "acs:log:*:*:project/sls-alert-*" }, { "Action": [ "eventbridge:PutEvents" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "fc:InvokeFunction" ], "Resource": "acs:fc:*:*:services/*/functions/sls-ops-*", "Effect": "Allow" }, { "Action": "ram:DeleteServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "alert.log.aliyuncs.com" } } } ] }