すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:AccessKeyペアを使用したデータへのアクセス

最終更新日:Aug 27, 2024

データ変換ジョブの場合、Alibaba CloudアカウントまたはResource Access Management (RAM) ユーザーのAccessKeyペアを指定して、ソースLogstoreからデータを読み取り、変換されたデータを1つ以上の宛先Logstoreに書き込むことをSimple Log Serviceに許可できます。 Alibaba CloudアカウントのAccessKeyペアには、Logstoreへのアクセス権限があり、直接使用できます。 RAMユーザーを使用する場合は、RAMユーザーにLogstoreのアクセス権限を付与する必要があります。 詳細は、以下のセクションをご参照ください。

前提条件

RAMユーザーが作成されます。 詳細については、「RAM ユーザーの作成」をご参照ください。

重要
  • RAMユーザーを作成するときは、[アクセスモード][OpenAPIアクセス] を選択します。 次に、RAMユーザーのAccessKeyペアを記録します。

  • RAMユーザーのAccessKeyシークレットは、RAMユーザーのAccessKeyペアを作成した場合にのみ表示されます。 AccessKeyペアの作成後、AccessKeyシークレットを照会することはできません。 AccessKeyシークレットを安全な場所に保存します。

ソースLogstoreからデータを読み取る権限をRAMユーザーに付与する

Alibaba Cloudアカウントを使用してRAMユーザーに読み取り権限を付与すると、RAMユーザーはソースLogstoreからデータを読み取ることができます。 データ変換ジョブを作成するときに、RAMユーザーのAccessKeyペアを入力できます。 詳細については、「データ変換ジョブの作成」をご参照ください。

  1. Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。

  2. ポリシーを作成します。

    このポリシーにより、RAMユーザーはソースLogstoreからデータを読み取ることができます。

    1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。

    2. [ポリシー] ページで [ポリシーの作成] をクリックします。

    3. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のいずれかのポリシードキュメントに置き換え、[次へ] をクリックします。

      • 完全一致を使用するポリシー

        この例では、ソースプロジェクト名はlog-project-prod、ソースLogstore名はaccess_logです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。

        {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "log:ListShards",
                "log:GetCursorOrData",
                "log:GetConsumerGroupCheckPoint",
                "log:UpdateConsumerGroup",
                "log:ConsumerGroupHeartBeat",
                "log:ConsumerGroupUpdateCheckPoint",
                "log:ListConsumerGroup",
                "log:CreateConsumerGroup"
              ],
              "Resource": [
                "acs:log:*:*:project/log-project-prod/logstore/access_log",
                "acs:log:*:*:project/log-project-prod/logstore/access_log/*"
              ],
              "Effect": "Allow"
            }
          ]
        }
      • ファジーマッチを使用するポリシー

        この例では、ソースプロジェクト名はlog-project-dev-a、log-project-dev-b、またはlog-project-dev-c、ソースLogstore名はapp_a_log、app_b_log、またはapp_c_logです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。

        {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "log:ListShards",
                "log:GetCursorOrData",
                "log:GetConsumerGroupCheckPoint",
                "log:UpdateConsumerGroup",
                "log:ConsumerGroupHeartBeat",
                "log:ConsumerGroupUpdateCheckPoint",
                "log:ListConsumerGroup",
                "log:CreateConsumerGroup"
              ],
              "Resource": [
                "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log",
            "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log/*"
              ],
              "Effect": "Allow"
            }
          ]
        }

        権限付与シナリオの詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」をご参照ください。

    4. ポリシーのNameパラメーターを設定します。 この例では、log-etl-source-reader-1-policyと入力します。 そして、[OK] をクリックします。

  3. ポリシーをRAMユーザーにアタッチします。

    1. 左側のナビゲーションウィンドウで、アイデンティティ > ユーザー.

    2. [ユーザー] ページで、RAMユーザーを見つけ、権限の追加[アクション] 列に表示されます。

    3. [権限付与] パネルで、[ポリシー] セクションに移動し、フィルタードロップダウンリストから [カスタムポリシー] を選択します。 次に、手順2で作成したポリシーをクリックし、[権限の付与] をクリックします。 この例では、[log-etl-source-reader-1ポリシー] ポリシーをクリックします。

      image

    4. 承認結果を確認します。 次に、[閉じる] をクリックします。

RAMユーザーにデータを宛先Logstoreに書き込む権限を付与する

Alibaba Cloudアカウントを使用してRAMユーザーに書き込み権限を付与すると、RAMユーザーは宛先Logstoreにデータを書き込むことができます。 データ変換ジョブを作成するときに、RAMユーザーのAccessKeyペアを入力できます。 詳細については、「データ変換ジョブの作成」をご参照ください。

  1. Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。

  2. ポリシーを作成します。

    このポリシーでは、RAMユーザーが宛先Logstoreにデータを書き込むことができます。

    1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。

    2. [ポリシー] ページで [ポリシーの作成] をクリックします。

    3. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のいずれかのポリシードキュメントに置き換え、[次へ] をクリックします。

      • 完全一致を使用するポリシー

        この例では、ターゲットプロジェクト名はlog-project-prod、ターゲットLogstore名はaccess_log_outputです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。

        {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "log:Post*",
                "log:BatchPost*"
              ],
               "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
              "Effect": "Allow"
            }
          ]
        }
      • ファジーマッチを使用するポリシー

        この例では、ターゲットプロジェクト名はlog-project-dev-a、log-project-dev-b、またはlog-project-dev-cで、ターゲットLogstore名はapp_a_log_output、app_b_log_output、またはapp_c_log_outputです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。

        {
          "Version": "1",
          "Statement": [
            {
              "Action": [
                "log:Post*",
                "log:BatchPost*"
              ],
               "Resource": "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log_output",
              "Effect": "Allow"
            }
          ]
        }

        権限付与シナリオの詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」をご参照ください。

    4. ポリシーのNameパラメーターを設定します。 この例では、log-etl-target-writer-1-policyと入力します。 そして、[OK] をクリックします。

  3. ポリシーをRAMユーザーにアタッチします。

    1. 左側のナビゲーションウィンドウで、アイデンティティ > ユーザー.

    2. [ユーザー] ページで、RAMユーザーを見つけ、権限の追加[アクション] 列に表示されます。

    3. [権限付与] パネルで、[ポリシー] セクションに移動し、フィルタードロップダウンリストから [カスタムポリシー] を選択します。 次に、手順2で作成したポリシーをクリックし、[権限の付与] をクリックします。 この例では、log-etl-target-writer-1-policyポリシーをクリックします。

      image

    4. 承認結果を確認します。 次に、[閉じる] をクリックします。

次のステップ

データ変換ジョブのRAMユーザーのAccessKeyペアを指定できます。 詳細については、「データ変換ジョブの作成」をご参照ください。

修改加工规则