すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:RAMユーザーにデータ変換ジョブを管理する権限を付与する

最終更新日:Aug 27, 2024

このトピックでは、RAMユーザーにデータ変換ジョブを管理する権限を付与する方法について説明します。

前提条件

RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。

背景情報

Alibaba Cloudアカウントを使用して、RAMユーザーにデータ変換ジョブを管理する権限を付与できます。

  • データ変換ジョブを作成、削除、または変更します。

  • ソースLogstoreのデータを読み取り、データ変換ジョブの結果をプレビューします。

重要

権限のあるRAMユーザーは、Simple Log Serviceコンソールでデータ変換ジョブを管理できます。 データ変換ジョブを管理するためにRAMユーザーに付与される権限は、Logstore内のデータにアクセスするためにデータ変換ジョブに付与される権限とは異なります。 現在のRAMユーザーのAccessKeyペアを使用して、データ変換ジョブを管理し、データ変換ジョブの実行時にLogstore内のデータにアクセスできます。 この場合、このトピックのアクセス許可ポリシーの内容と、AccessKeyペアを使用したアクセスデータのアクセス許可ポリシーの内容を組み合わせる必要があります。

次のいずれかのモードを使用して、Simple Log Serviceのデータを変換する権限をRAMユーザーに付与できます。

  • シンプルモード: Simple Log Serviceのすべての権限をRAMユーザーに付与できます。 パラメーターを設定する必要はありません。

  • カスタムモード: カスタムポリシーを作成し、RAMユーザーにポリシーをアタッチできます。 このモードでは、きめ細かいアクセス制御を実行できます。 しかし、このモードの構成は複雑である。

シンプルモード

Alibaba CloudアカウントでRAMコンソールにログインします。 次に、AliyunLogFullAccessおよびAliyunRAMFullAccessポリシーをRAMユーザーにアタッチします。 これにより、RAMユーザーはSimple Log Serviceに対するすべての権限を持ちます。 詳細については、「RAMユーザーへの権限付与」をご参照ください。

カスタムモード

  1. RAMコンソールAlibaba Cloudアカウントを使用します。

  2. ポリシーを作成します。

    1. 左側のナビゲーションウィンドウから、 [権限] > [ポリシー] を選択します。

    2. [ポリシー] ページで [ポリシーの作成] をクリックします。

    3. [ポリシーの作成] ページで、[JSON] タブをクリックし、コードエディターの既存のスクリプトを次のポリシードキュメントに置き換え、[次へ] をクリックしてポリシー情報を編集します。

      プロジェクト名を、データ変換ジョブが作成されるプロジェクトの名前に置き換えます。 Logstore名を関連するLogstoreの名前に置き換えます。

      説明

      現在のRAMユーザーのAccessKeyペアを使用してLogstoreデータを読み書きする場合は、次のサンプルスクリプトに関連するポリシーを追加する必要があります。 詳細については、「AccessKeyペアを使用したデータへのアクセス」をご参照ください。

      {
          "Version":"1",
          "Statement":[
              {
                  "Effect":"Allow",
                  "Action":[
                      "log:CreateLogStore",
                      "log:CreateIndex",
                      "log:UpdateIndex",
                      "log:Get*"
                  ],
                  "Resource":"acs:log:*:*:project/Project name/logstore/internal-etl-log"
              },
              {
                  "Action":[
                      "log:List*"
                  ],
                  "Resource":"acs:log:*:*:project/Project name/logstore/*",
                  "Effect":"Allow"
              },
              {
                  "Action":[
                      "log:Get*",
                      "log:List*"
                  ],
                  "Resource":[
                      "acs:log:*:*:project/Project name/logstore/Logstore name"
                  ],
                  "Effect":"Allow"
              },
              {
                  "Effect":"Allow",
                  "Action":[
                      "log:GetDashboard",
                      "log:CreateDashboard",
                      "log:UpdateDashboard"
                  ],
                  "Resource":"acs:log:*:*:project/Project name/dashboard/internal-etl-insight*"
              },
              {
                  "Effect":"Allow",
                  "Action":"log:CreateDashboard",
                  "Resource":"acs:log:*:*:project/Project name/dashboard/*"
              },
              {
                  "Effect":"Allow",
                  "Action":[
                      "log:*"
                  ],
                  "Resource":"acs:log:*:*:project/Project name/job/*"
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "ram:PassRole",
                      "ram:GetRole",
                      "ram:ListRoles"
                  ],
                  "Resource": "*"
               }
          ]
      }
    4. [名前] パラメーターを設定し、[OK] をクリックします。

      たとえば、Nameパラメーターをlog-sls-etl-policyに設定できます。

  3. RAMユーザーに権限を付与します。

    1. 左側のナビゲーションペインで、[Identities] > [Users] を選択します。

    2. [ユーザー] ページで、カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。

    3. [権限の付与] パネルの [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、手順2で作成したポリシーを選択して、[権限の付与] をクリックします。