このトピックでは、CloudLens for SLSの操作権限をResource Access Management (RAM) ユーザーに付与する方法について説明します。
前提条件
RAM ユーザーを作成します。 詳細については、「RAM ユーザーの作成」をご参照ください。
背景情報
RAMユーザーを使用してCloudLens for SLSを管理する前に、RAMユーザーが属するAlibaba Cloudアカウントを使用して必要な権限を付与する必要があります。 次の種類のポリシーを使用して、権限を付与できます。
シンプルモード: Simple Log Serviceのすべての権限をRAMユーザーに付与できます。 ポリシードキュメントは変更できません。 パラメーターを設定する必要はありません。
カスタムモード: カスタムポリシーを作成し、RAMユーザーにポリシーをアタッチできます。 このモードでは、きめ細かいアクセス制御を実行できます。 しかしながら、このモードは複雑な構成を必要とする。
システムポリシーを使用してRAMユーザーに権限を付与する
RAMユーザーにAliyunLogReadOnlyAccess
およびAliyunLogFullAccess
権限を付与します。 AliyunLogReadOnlyAccess権限は、Simple Log Serviceでの読み取り専用操作を許可します。 AliyunLogFullAccess権限は、Simple Log Serviceでの管理操作を許可します。 RAMユーザーに権限を付与する方法の詳細については、「RAMユーザーに権限を付与する」をご参照ください。
カスタムポリシーを使用してRAMユーザーに権限を付与する
RAMコンソールAlibaba Cloudアカウントを使用します。
カスタムポリシーを作成します。
左側のナビゲーションウィンドウから、
を選択します。[ポリシー] ページで [ポリシーの作成] をクリックします。
ポリシーの作成ページをクリックし、JSONタブで、コードエディターの既存のスクリプトを次のいずれかのポリシードキュメントに置き換え、ポリシー情報を編集する次に.
CloudLens for SLSの読み取り専用権限または読み取りおよび書き込み権限をRAMユーザーに付与できます。
読み取り専用権限: RAMユーザーはCloudLens for SLSのページのみを表示できます。
{ "Statement": [ { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": "log:GetProductDataCollection", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" }, { "Action": [ "log:ListCollectionPolicies" ], "Resource": "acs:log::*:collectionpolicy/*", "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }
読み取りおよび書き込み権限: RAMユーザーは、CloudLens for SLSでサポートされているすべての操作を実行できます。
{ "Statement": [ { "Action": [ "log:GetLogStore", "log:ListLogStores", "log:GetIndex", "log:GetLogStoreHistogram", "log:GetLogStoreLogs", "log:GetDashboard", "log:ListDashboard", "log:ListSavedSearch", "log:CreateProject", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex", "log:ListLogStores", "log:GetLogStore", "log:GetLogStoreLogs", "log:CreateDashboard", "log:CreateChart", "log:UpdateDashboard", "log:UpdateLogStore", "log:GetProjectLogs" ], "Resource": [ "acs:log:*:*:project/*/logstore/*", "acs:log:*:*:project/*/dashboard/*", "acs:log:*:*:project/*/savedsearch/*" ], "Effect": "Allow" }, { "Action": [ "log:GetProductDataCollection", "log:OpenProductDataCollection", "log:CloseProductDataCollection" ], "Resource": "acs:log:*:*:project/*", "Effect": "Allow" }, { "Action": "log:SetGeneralDataAccessConfig", "Resource": "acs:log:*:*:resource/sls.general_data_access.sls.global_conf.standard_channel/record", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": "audit.log.aliyuncs.com" } } }, { "Action": [ "log:ListCollectionPolicies", "log:UpsertCollectionPolicy", "log:DeleteCollectionPolicy" ], "Resource": "acs:log::*:collectionpolicy/*", "Effect": "Allow" }, { "Action": "log:ListProject", "Resource": "acs:log:*:*:project/*", "Effect": "Allow" } ], "Version": "1" }
[名前] パラメーターを設定し、[OK] をクリックします。
この例では、ポリシー名を
log-sls-policy
に設定します。
RAMユーザーに権限を付与します。
左側のナビゲーションペインで、
を選択します。[ユーザー] ページで、カスタムポリシーをアタッチするRAMユーザーを見つけ、[操作] 列の [権限の追加] をクリックします。
[権限の付与] パネルの [ポリシー] セクションで、ドロップダウンリストから [カスタムポリシー] を選択し、手順2で作成したポリシーを選択して、[権限の付与] をクリックします。