このトピックでは、Resource Access Management (RAM) の基本概念と操作について説明します。 これらの操作を使用して、ユーザーIDの管理、リソースアクセスの制御、RAMユーザーによるSimple Log Serviceへのアクセス許可、Simple Log Serviceによるログの読み取り許可、およびRAMロールによるSimple Log Serviceリソースの管理許可を行うことができます。
基本概念
RAMを使用すると、ユーザーIDを管理し、リソースアクセスを制御できます。 従業員、システム、およびアプリケーションのRAMユーザーを作成し、RAMユーザーにAlibaba Cloudアカウントのリソースへのアクセスを許可できます。 企業内の複数のユーザーが同じリソースにアクセスする必要がある場合は、RAM を使用して、これらのユーザーに最小限の権限を付与できます。 これにより、Alibaba Cloudアカウントの AccessKey ペアをこれらのユーザーと共有する必要がなくなり、セキュリティリスクが軽減されます。
RAMを使用すると、Simple Log Serviceリソースにきめ細かいアクセス制御を実装できます。 これを実現するには、RAMユーザーとRAMロールを作成し、Simple Log Serviceリソースに対する権限をユーザーとロールに付与します。
操作
ユーザーIDの管理
RAMを使用してユーザーIDを管理できます。 RAMを使用して、RAMユーザー、RAMロール、ユーザーグループなど、Alibaba CloudアカウントのユーザーIDを管理できます。 これらのRAMユーザー、RAMロール、およびユーザーグループに、Alibaba CloudアカウントのSimple Log Serviceリソースへのアクセスと管理を許可することもできます。
Simple Log Serviceを使用すると、API GatewayやServer Load Balancer (SLB) などのクラウドサービスからログを収集できます。 [クラウドリソースアクセス許可] ページで、RAMロールを作成し、そのロールにサービスへのアクセスを許可できます。
ロール
デフォルトの権限
説明
AliyunLogArchiveRole
AliyunLogArchiveRolePolicy
Simple Log Serviceは、このロールを引き受けてSLBログにアクセスできます。 デフォルトのポリシーは、SLBログのエクスポートに使用されます。 Simple Log Serviceがこのロールを引き受けることを許可するには、[クラウドリソースアクセス許可] をクリックします。
AliyunLogImportOSSRole
AliyunLogImportOSSRolePolicy
Simple Log Serviceは、このロールを引き受けてObject Storage Service (OSS) リソースにアクセスできます。 Simple Log Serviceがこのロールを引き受けることを許可するには、[クラウドリソースアクセス許可] をクリックします。
AliyunLogDefaultRole
AliyunLogRolePolicy
Simple Log Serviceは、このロールを引き受けて、他のAlibaba Cloudサービスのリソースにアクセスできます。 Simple Log Serviceがこのロールを引き受けることを許可するには、[クラウドリソースアクセス許可] をクリックします。
AliyunLogETLRole
AliyunLogETLRolePolicy
Simple Log Serviceは、このロールを引き受けて、他のAlibaba Cloudサービスのデータを抽出、変換、ロードできます。 Simple Log Serviceがこのロールを引き受けることを許可するには、[クラウドリソースアクセス許可] をクリックします。
AliyunMNSLoggingRole
AliyunMNSLoggingRolePolicy
Simple Log Serviceは、このロールを引き受けてMessage Service (MNS) ログにアクセスできます。 デフォルトのポリシーは、MNSログのエクスポートとOSSへのログの書き込みに使用されます。 Simple Log Serviceがこのロールを引き受けることを許可するには、[クラウドリソースアクセス許可] をクリックします。
リソースアクセスの制御
Alibaba Cloudアカウントに属するRAMユーザー、RAMロール、およびユーザーグループに権限を付与できます。
システムポリシーを使用するか、きめ細かいポリシーをカスタマイズできます。 詳細については、「概要」をご参照ください。
次の表に、Simple Log Serviceでサポートされているシステムポリシーを示します。
ポリシー
データ型
説明
AliyunLogFullAccess
システムポリシー
ポリシーは、Simple Log Serviceリソースへのフルアクセスを許可します。
AliyunLogReadOnlyAccess
システムポリシー
ポリシーは、Simple Log Serviceリソースへの読み取り専用アクセスを許可します。
RAMユーザーにSimple Log Serviceへのアクセス許可
ビジネスでは、Simple Log Serviceリソースに対するO&M担当者の管理権限の提供が必要になる場合があります。 この場合、必要な権限を担当者に付与する必要があります。 その後、担当者はRAMユーザーとしてSimple Log Serviceリソースにアクセスできます。 データのセキュリティ上の理由から、RAMユーザーに権限を付与する場合は、最小権限 (PoLP) の原則に従うことをお勧めします。
詳細については、「RAMユーザーを作成し、RAMユーザーにSimple Log Serviceへのアクセスを許可する」をご参照ください。
Simple Log Serviceによるログの読み取り許可
Simple Log Serviceは、ログデータを読み取り、データに基づいてアラートを生成できます。 Simple Log Serviceによるログデータの読み取りを許可するには、Simple log Serviceに必要な権限を付与する必要があります。
詳細については、「Alibaba CloudサービスへのRAMロールの割り当て」をご参照ください。
Simple Log Serviceリソースを管理するためのRAMロールの権限付与
RAMロールは、パスワードやAccessKeyペアなどの資格情報を持たない仮想IDです。 RAMロールを、Alibaba Cloudアカウント、RAMユーザー、Alibaba Cloudサービスなどの信頼できるエンティティに割り当てることができます。 信頼済みエンティティがRAMロールのSTSトークンを受信すると、信頼済みエンティティはSTSトークンを使用して、RAMロールが使用を許可されているリソースにアクセスできます。
RAMロールを信頼できるエンティティに割り当てます。 信頼できるエンティティは、Simple Log Serviceリソースを管理できます。 詳細については、「信頼できるエンティティがAlibaba CloudアカウントであるRAMロールを作成し、RAMロールにSimple Log Serviceにアクセスする権限を付与する」をご参照ください。
RAMロールをモバイルアプリに割り当てます。 その後、モバイルアプリはSimple Log Serviceに直接アクセスし、ログをSimple Log Serviceにアップロードできます。 詳細については、「モバイルアプリからSimple Log serviceにログをアップロードするサービスの構築」をご参照ください。