RAMユーザーにデータ変換ジョブを管理する権限を付与する - Simple Log Service

このトピックでは、RAMユーザーにデータ変換ジョブを管理する権限を付与する方法について説明します。

前提条件

RAM ユーザーを作成します。詳細については、「RAM ユーザーの作成」をご参照ください。

背景情報

Alibaba Cloudアカウントを使用して、RAMユーザーにデータ変換ジョブを管理する権限を付与できます。

データ変換ジョブを作成、削除、または変更します。
ソースLogstoreのデータを読み取り、データ変換ジョブの結果をプレビューします。

重要

権限のあるRAMユーザーは、Simple Log Serviceコンソールでデータ変換ジョブを管理できます。データ変換ジョブを管理するためにRAMユーザーに付与される権限は、Logstore内のデータにアクセスするためにデータ変換ジョブに付与される権限とは異なります。現在のRAMユーザーのAccessKeyペアを使用して、データ変換ジョブを管理し、データ変換ジョブの実行時にLogstore内のデータにアクセスできます。この場合、このトピックのアクセス許可ポリシーの内容と、AccessKeyペアを使用したアクセスデータのアクセス許可ポリシーの内容を組み合わせる必要があります。

次のいずれかのモードを使用して、Simple Log Serviceのデータを変換する権限をRAMユーザーに付与できます。

シンプルモード: Simple Log Serviceのすべての権限をRAMユーザーに付与できます。パラメーターを設定する必要はありません。
カスタムモード: カスタムポリシーを作成し、RAMユーザーにポリシーをアタッチできます。このモードでは、きめ細かいアクセス制御を実行できます。しかし、このモードの構成は複雑である。

シンプルモード

Alibaba CloudアカウントでRAMコンソールにログインします。次に、AliyunLogFullAccessおよびAliyunRAMFullAccessポリシーをRAMユーザーにアタッチします。これにより、RAMユーザーはSimple Log Serviceに対するすべての権限を持ちます。詳細については、「RAMユーザーへの権限付与」をご参照ください。

カスタムモード

RAMコンソールAlibaba Cloudアカウントを使用します。

ポリシーを作成します。

左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。
[ポリシー] ページで [ポリシーの作成] をクリックします。

[ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のポリシードキュメントに置き換え、[次へ] をクリックしてポリシー情報を編集します。

プロジェクト名を、データ変換ジョブが作成されるプロジェクトの名前に置き換えます。 Logstore名を関連するLogstoreの名前に置き換えます。

説明

現在のRAMユーザーのAccessKeyペアを使用してLogstoreデータを読み書きする場合は、次のサンプルスクリプトに関連するポリシーを追加する必要があります。詳細については、「AccessKeyペアを使用したデータへのアクセス」をご参照ください。

{
    "Version":"1",
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "log:CreateLogStore",
                "log:CreateIndex",
                "log:UpdateIndex",
                "log:Get*"
            ],
            "Resource":"acs:log:*:*:project/Project name/logstore/internal-etl-log"
        },
        {
            "Action":[
                "log:List*"
            ],
            "Resource":"acs:log:*:*:project/Project name/logstore/*",
            "Effect":"Allow"
        },
        {
            "Action":[
                "log:Get*",
                "log:List*"
            ],
            "Resource":[
                "acs:log:*:*:project/Project name/logstore/Logstore name"
            ],
            "Effect":"Allow"
        },
        {
            "Effect":"Allow",
            "Action":[
                "log:GetDashboard",
                "log:CreateDashboard",
                "log:UpdateDashboard"
            ],
            "Resource":"acs:log:*:*:project/Project name/dashboard/internal-etl-insight*"
        },
        {
            "Effect":"Allow",
            "Action":"log:CreateDashboard",
            "Resource":"acs:log:*:*:project/Project name/dashboard/*"
        },
        {
            "Effect":"Allow",
            "Action":[
                "log:*"
            ],
            "Resource":"acs:log:*:*:project/Project name/job/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ram:PassRole",
                "ram:GetRole",
                "ram:ListRoles"
            ],
            "Resource": "*"
         }
    ]
}

[名前] パラメーターを設定し、[OK] をクリックします。
たとえば、Nameパラメーターをlog-sls-etl-policyに設定できます。

RAMユーザーに権限を付与します。
1. 左側のナビゲーションペインで、[Identities] > [Users] を選択します。
2. [ユーザー] ページで、カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
3. [権限の付与] パネルの [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、手順2で作成したポリシーを選択して、[権限の付与] をクリックします。