このトピックでは、RAMユーザーにデータ変換ジョブを管理する権限を付与する方法について説明します。
前提条件
RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
背景情報
Alibaba Cloudアカウントを使用して、RAMユーザーにデータ変換ジョブを管理する権限を付与できます。
データ変換ジョブを作成、削除、または変更します。
ソースLogstoreのデータを読み取り、データ変換ジョブの結果をプレビューします。
権限のあるRAMユーザーは、Simple Log Serviceコンソールでデータ変換ジョブを管理できます。 データ変換ジョブを管理するためにRAMユーザーに付与される権限は、Logstore内のデータにアクセスするためにデータ変換ジョブに付与される権限とは異なります。 現在のRAMユーザーのAccessKeyペアを使用して、データ変換ジョブを管理し、データ変換ジョブの実行時にLogstore内のデータにアクセスできます。 この場合、このトピックのアクセス許可ポリシーの内容と、AccessKeyペアを使用したアクセスデータのアクセス許可ポリシーの内容を組み合わせる必要があります。
次のいずれかのモードを使用して、Simple Log Serviceのデータを変換する権限をRAMユーザーに付与できます。
シンプルモード: Simple Log Serviceのすべての権限をRAMユーザーに付与できます。 パラメーターを設定する必要はありません。
カスタムモード: カスタムポリシーを作成し、RAMユーザーにポリシーをアタッチできます。 このモードでは、きめ細かいアクセス制御を実行できます。 しかし、このモードの構成は複雑である。
シンプルモード
Alibaba CloudアカウントでRAMコンソールにログインします。 次に、AliyunLogFullAccessおよびAliyunRAMFullAccessポリシーをRAMユーザーにアタッチします。 これにより、RAMユーザーはSimple Log Serviceに対するすべての権限を持ちます。 詳細については、「RAMユーザーへの権限付与」をご参照ください。
カスタムモード
RAMコンソールAlibaba Cloudアカウントを使用します。
ポリシーを作成します。
左側のナビゲーションウィンドウから、
を選択します。[ポリシー] ページで [ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のポリシードキュメントに置き換え、[次へ] をクリックしてポリシー情報を編集します。
プロジェクト名
を、データ変換ジョブが作成されるプロジェクトの名前に置き換えます。Logstore名
を関連するLogstoreの名前に置き換えます。説明現在のRAMユーザーのAccessKeyペアを使用してLogstoreデータを読み書きする場合は、次のサンプルスクリプトに関連するポリシーを追加する必要があります。 詳細については、「AccessKeyペアを使用したデータへのアクセス」をご参照ください。
{ "Version":"1", "Statement":[ { "Effect":"Allow", "Action":[ "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:Get*" ], "Resource":"acs:log:*:*:project/Project name/logstore/internal-etl-log" }, { "Action":[ "log:List*" ], "Resource":"acs:log:*:*:project/Project name/logstore/*", "Effect":"Allow" }, { "Action":[ "log:Get*", "log:List*" ], "Resource":[ "acs:log:*:*:project/Project name/logstore/Logstore name" ], "Effect":"Allow" }, { "Effect":"Allow", "Action":[ "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard" ], "Resource":"acs:log:*:*:project/Project name/dashboard/internal-etl-insight*" }, { "Effect":"Allow", "Action":"log:CreateDashboard", "Resource":"acs:log:*:*:project/Project name/dashboard/*" }, { "Effect":"Allow", "Action":[ "log:*" ], "Resource":"acs:log:*:*:project/Project name/job/*" }, { "Effect": "Allow", "Action": [ "ram:PassRole", "ram:GetRole", "ram:ListRoles" ], "Resource": "*" } ] }
[名前] パラメーターを設定し、[OK] をクリックします。
たとえば、Nameパラメーターをlog-sls-etl-policyに設定できます。
RAMユーザーに権限を付与します。
左側のナビゲーションペインで、
を選択します。[ユーザー] ページで、カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルの [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、手順2で作成したポリシーを選択して、[権限の付与] をクリックします。