すべてのプロダクト
Search

このプロダクト

    Simple Log Service:AccessKeyペアを使用したデータへのアクセス

    ドキュメントセンター

    Simple Log Service:AccessKeyペアを使用したデータへのアクセス

    最終更新日:Aug 27, 2024

    データ変換ジョブの場合、Alibaba CloudアカウントまたはResource Access Management (RAM) ユーザーのAccessKeyペアを指定して、ソースLogstoreからデータを読み取り、変換されたデータを1つ以上の宛先Logstoreに書き込むことをSimple Log Serviceに許可できます。 Alibaba CloudアカウントのAccessKeyペアには、Logstoreへのアクセス権限があり、直接使用できます。 RAMユーザーを使用する場合は、RAMユーザーにLogstoreのアクセス権限を付与する必要があります。 詳細は、以下のセクションをご参照ください。

    前提条件

    RAMユーザーが作成されます。 詳細については、「RAM ユーザーの作成」をご参照ください。

    重要

    • RAMユーザーを作成するときは、[アクセスモード][OpenAPIアクセス] を選択します。 次に、RAMユーザーのAccessKeyペアを記録します。

    • RAMユーザーのAccessKeyシークレットは、RAMユーザーのAccessKeyペアを作成した場合にのみ表示されます。 AccessKeyペアの作成後、AccessKeyシークレットを照会することはできません。 AccessKeyシークレットを安全な場所に保存します。

    ソースLogstoreからデータを読み取る権限をRAMユーザーに付与する

    Alibaba Cloudアカウントを使用してRAMユーザーに読み取り権限を付与すると、RAMユーザーはソースLogstoreからデータを読み取ることができます。 データ変換ジョブを作成するときに、RAMユーザーのAccessKeyペアを入力できます。 詳細については、「データ変換ジョブの作成」をご参照ください。

    1. Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。

    2. ポリシーを作成します。

      このポリシーにより、RAMユーザーはソースLogstoreからデータを読み取ることができます。

      1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。

      2. [ポリシー] ページで [ポリシーの作成] をクリックします。

      3. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のいずれかのポリシードキュメントに置き換え、[次へ] をクリックします。

        • 完全一致を使用するポリシー

          この例では、ソースプロジェクト名はlog-project-prod、ソースLogstore名はaccess_logです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。 

          {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/log-project-prod/logstore/access_log",
        "acs:log:*:*:project/log-project-prod/logstore/access_log/*"
      ],
      "Effect": "Allow"
    }
  ]
}

        • ファジーマッチを使用するポリシー

          この例では、ソースプロジェクト名はlog-project-dev-a、log-project-dev-b、またはlog-project-dev-c、ソースLogstore名はapp_a_log、app_b_log、またはapp_c_logです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。 

          {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:ListShards",
        "log:GetCursorOrData",
        "log:GetConsumerGroupCheckPoint",
        "log:UpdateConsumerGroup",
        "log:ConsumerGroupHeartBeat",
        "log:ConsumerGroupUpdateCheckPoint",
        "log:ListConsumerGroup",
        "log:CreateConsumerGroup"
      ],
      "Resource": [
        "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log",
    "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log/*"
      ],
      "Effect": "Allow"
    }
  ]
}

          権限付与シナリオの詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」をご参照ください。

      4. ポリシーのNameパラメーターを設定します。 この例では、log-etl-source-reader-1-policyと入力します。 そして、[OK] をクリックします。

    3. ポリシーをRAMユーザーにアタッチします。

      1. 左側のナビゲーションウィンドウで、アイデンティティ > ユーザー.

      2. [ユーザー] ページで、RAMユーザーを見つけ、権限の追加[アクション] 列に表示されます。

      3. [権限付与] パネルで、[ポリシー] セクションに移動し、フィルタードロップダウンリストから [カスタムポリシー] を選択します。 次に、手順2で作成したポリシーをクリックし、[権限の付与] をクリックします。 この例では、[log-etl-source-reader-1ポリシー] ポリシーをクリックします。

        image

      4. 承認結果を確認します。 次に、[閉じる] をクリックします。

    RAMユーザーにデータを宛先Logstoreに書き込む権限を付与する

    Alibaba Cloudアカウントを使用してRAMユーザーに書き込み権限を付与すると、RAMユーザーは宛先Logstoreにデータを書き込むことができます。 データ変換ジョブを作成するときに、RAMユーザーのAccessKeyペアを入力できます。 詳細については、「データ変換ジョブの作成」をご参照ください。

    1. Alibaba Cloudアカウントを使用して、RAMコンソールにログインします。

    2. ポリシーを作成します。

      このポリシーでは、RAMユーザーが宛先Logstoreにデータを書き込むことができます。

      1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。

      2. [ポリシー] ページで [ポリシーの作成] をクリックします。

      3. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のいずれかのポリシードキュメントに置き換え、[次へ] をクリックします。

        • 完全一致を使用するポリシー

          この例では、ターゲットプロジェクト名はlog-project-prod、ターゲットLogstore名はaccess_log_outputです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。 

          {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*",
        "log:BatchPost*"
      ],
       "Resource": "acs:log:*:*:project/log-project-prod/logstore/access_log_output",
      "Effect": "Allow"
    }
  ]
}

        • ファジーマッチを使用するポリシー

          この例では、ターゲットプロジェクト名はlog-project-dev-a、log-project-dev-b、またはlog-project-dev-cで、ターゲットLogstore名はapp_a_log_output、app_b_log_output、またはapp_c_log_outputです。 ビジネス要件に基づいて、プロジェクト名とLogstore名を置き換えます。 

          {
  "Version": "1",
  "Statement": [
    {
      "Action": [
        "log:Post*",
        "log:BatchPost*"
      ],
       "Resource": "acs:log:*:*:project/log-project-dev-*/logstore/app_*_log_output",
      "Effect": "Allow"
    }
  ]
}

          権限付与シナリオの詳細については、「カスタムポリシーを使用してRAMユーザーに権限を付与する」をご参照ください。

      4. ポリシーのNameパラメーターを設定します。 この例では、log-etl-target-writer-1-policyと入力します。 そして、[OK] をクリックします。

    3. ポリシーをRAMユーザーにアタッチします。

      1. 左側のナビゲーションウィンドウで、アイデンティティ > ユーザー.

      2. [ユーザー] ページで、RAMユーザーを見つけ、権限の追加[アクション] 列に表示されます。

      3. [権限付与] パネルで、[ポリシー] セクションに移動し、フィルタードロップダウンリストから [カスタムポリシー] を選択します。 次に、手順2で作成したポリシーをクリックし、[権限の付与] をクリックします。 この例では、log-etl-target-writer-1-policyポリシーをクリックします。

        image

      4. 承認結果を確認します。 次に、[閉じる] をクリックします。

    次のステップ

    データ変換ジョブのRAMユーザーのAccessKeyペアを指定できます。 詳細については、「データ変換ジョブの作成」をご参照ください。

    修改加工规则