データ変換ジョブの場合、Alibaba CloudアカウントまたはResource Access Management (RAM) ユーザーのAccessKeyペアを指定して、ソースLogstoreからデータを読み取り、変換されたデータを1つ以上の宛先Logstoreに書き込むことをSimple Log Serviceに許可できます。 Alibaba CloudアカウントのAccessKeyペアには、Logstoreへのアクセス権限があり、直接使用できます。 RAMユーザーを使用する場合は、RAMユーザーにLogstoreのアクセス権限を付与する必要があります。 詳細は、以下のセクションをご参照ください。
前提条件
RAMユーザーが作成されます。 詳細については、「RAM ユーザーの作成」をご参照ください。
RAMユーザーを作成するときは、[アクセスモード] で [OpenAPIアクセス] を選択します。 次に、RAMユーザーのAccessKeyペアを記録します。
RAMユーザーのAccessKeyシークレットは、RAMユーザーのAccessKeyペアを作成した場合にのみ表示されます。 AccessKeyペアの作成後、AccessKeyシークレットを照会することはできません。 AccessKeyシークレットを安全な場所に保存します。
ソースLogstoreからデータを読み取る権限をRAMユーザーに付与する
Alibaba Cloudアカウントを使用してRAMユーザーに読み取り権限を付与すると、RAMユーザーはソースLogstoreからデータを読み取ることができます。 データ変換ジョブを作成するときに、RAMユーザーのAccessKeyペアを入力できます。 詳細については、「データ変換ジョブの作成」をご参照ください。
Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。
ポリシーを作成します。
このポリシーにより、RAMユーザーはソースLogstoreからデータを読み取ることができます。
左側のナビゲーションウィンドウから、
を選択します。[ポリシー] ページで [ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のいずれかのポリシードキュメントに置き換え、[次へ] をクリックします。
完全一致を使用するポリシー
この例では、ソースプロジェクト名はlog-project-prod、ソースLogstore名はaccess_logです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。
{ "Version": "1", "Statement": [ { "Action": [ "log:ListShards", "log:GetCursorOrData", "log:GetConsumerGroupCheckPoint", "log:UpdateConsumerGroup", "log:ConsumerGroupHeartBeat", "log:ConsumerGroupUpdateCheckPoint", "log:ListConsumerGroup", "log:CreateConsumerGroup" ], "Resource": [ "acs:log:*:*:project/log-project-prod/logstore/access_log", "acs:log:*:*:project/log-project-prod/logstore/access_log/*" ], "Effect": "Allow" } ] }
ファジーマッチを使用するポリシー
この例では、ソースプロジェクト名はlog-project-dev-a、log-project-dev-b、またはlog-project-dev-c、ソースLogstore名はapp_a_log、app_b_log、またはapp_c_logです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。
{ "Version": "1", "Statement": [ { "Action": [ "log:ListShards", "log:GetCursorOrData", "log:GetConsumerGroupCheckPoint", "log:UpdateConsumerGroup", "log:ConsumerGroupHeartBeat", "log:ConsumerGroupUpdateCheckPoint", "log:ListConsumerGroup", "log:CreateConsumerGroup" ], "Resource": [ "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log", "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log/*" ], "Effect": "Allow" } ] }
権限付与シナリオの詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」をご参照ください。
ポリシーのNameパラメーターを設定します。 この例では、log-etl-source-reader-1-policyと入力します。 そして、[OK] をクリックします。
ポリシーをRAMユーザーにアタッチします。
左側のナビゲーションウィンドウで、 .
[ユーザー] ページで、RAMユーザーを見つけ、権限の追加[アクション] 列に表示されます。
[権限付与] パネルで、[ポリシー] セクションに移動し、フィルタードロップダウンリストから [カスタムポリシー] を選択します。 次に、手順2で作成したポリシーをクリックし、[権限の付与] をクリックします。 この例では、[log-etl-source-reader-1ポリシー] ポリシーをクリックします。
承認結果を確認します。 次に、[閉じる] をクリックします。
RAMユーザーにデータを宛先Logstoreに書き込む権限を付与する
Alibaba Cloudアカウントを使用してRAMユーザーに書き込み権限を付与すると、RAMユーザーは宛先Logstoreにデータを書き込むことができます。 データ変換ジョブを作成するときに、RAMユーザーのAccessKeyペアを入力できます。 詳細については、「データ変換ジョブの作成」をご参照ください。
Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。
ポリシーを作成します。
このポリシーでは、RAMユーザーが宛先Logstoreにデータを書き込むことができます。
左側のナビゲーションウィンドウから、
を選択します。[ポリシー] ページで [ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のいずれかのポリシードキュメントに置き換え、[次へ] をクリックします。
完全一致を使用するポリシー
この例では、ターゲットプロジェクト名はlog-project-prod、ターゲットLogstore名はaccess_log_outputです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output", "Effect": "Allow" } ] }
ファジーマッチを使用するポリシー
この例では、ターゲットプロジェクト名はlog-project-dev-a、log-project-dev-b、またはlog-project-dev-cで、ターゲットLogstore名はapp_a_log_output、app_b_log_output、またはapp_c_log_outputです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。
{ "Version": "1", "Statement": [ { "Action": [ "log:Post*", "log:BatchPost*" ], "Resource": "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log_output", "Effect": "Allow" } ] }
権限付与シナリオの詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」をご参照ください。
ポリシーのNameパラメーターを設定します。 この例では、log-etl-target-writer-1-policyと入力します。 そして、[OK] をクリックします。
ポリシーをRAMユーザーにアタッチします。
左側のナビゲーションウィンドウで、 .
[ユーザー] ページで、RAMユーザーを見つけ、権限の追加[アクション] 列に表示されます。
[権限付与] パネルで、[ポリシー] セクションに移動し、フィルタードロップダウンリストから [カスタムポリシー] を選択します。 次に、手順2で作成したポリシーをクリックし、[権限の付与] をクリックします。 この例では、log-etl-target-writer-1-policyポリシーをクリックします。
承認結果を確認します。 次に、[閉じる] をクリックします。
次のステップ
データ変換ジョブのRAMユーザーのAccessKeyペアを指定できます。 詳細については、「データ変換ジョブの作成」をご参照ください。
セクション1では、ソースLogstoreからデータを読み取る権限が付与されているRAMユーザーのAccessKeyペアを入力します。 詳細については、「RAMユーザーにソースLogstoreからデータを読み取る権限を付与する」をご参照ください。
セクション2では、宛先Logstoreにデータを書き込む権限が付与されているRAMユーザーのAccessKeyペアを入力します。 詳細については、「RAMユーザーに宛先ログストアにデータを書き込む権限を付与する」をご参照ください。