このトピックでは、RAMユーザーにアラートを管理する権限を付与するプロセスの概要を説明し、プロジェクト、リージョン、Alibaba Cloudアカウント間でログをモニタリングするための権限設定について詳しく説明します。
前提条件
RAMユーザーを作成する必要があります。 詳細については、「RAM ユーザーの作成」をご参照ください。
RAMユーザーに読み取り専用アクセス警告を許可する
方法1: システムポリシーをアタッチする
RAMユーザーにアラートに対する読み取り専用の管理権限を付与します (AliyunLogReadOnlyAccess) 。詳細については、「」をご参照ください。RAMユーザーの承認.
方法2: カスタムポリシーを作成し、カスタムポリシーをアタッチ
にログインします。RAMコンソールAlibaba Cloudアカウントを使用するか、RAM管理者として使用します。
カスタムポリシーを作成します。 [JSON] タブで、エディターの既存のコンテンツを次のスクリプトに置き換えます。 詳細については、「」をご参照ください。スクリプト編集モードでカスタムポリシーを作成する.
重要プロジェクト名は、読み取り専用のアラートデータを対象とした特定のプロジェクトを反映する必要があります。 それに応じて調整します。
sls-alert-* は、現在のAlibaba Cloudアカウントに関連付けられているすべてのグローバルアラートセンタープロジェクトを示します。 グローバルアラートセンタープロジェクトには、すべてのアラートルールの評価データ、保存されたログ、およびアラートに関するグローバルレポートが含まれます。 グローバルレポート情報が不要な場合は、リソースリストから
acs:log:*:*:project/sls-alert-*/*を除外します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetLogStore" ], "Resource": [ "acs:log:*:*:project/Project name/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:GetJob", "log:ListJobs" ], "Resource": "acs:log:*:*:project/Project name/job/*" }, { "Effect": "Allow", "Action": [ "log:GetProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs", "log:ListLogStores", "log:GetIndex", "log:GetDashboard", "log:ListDashboard" ], "Resource": [ "acs:log:*:*:project/Project name/*", "acs:log:*:*:project/sls-alert-*/*" ] }, { "Effect": "Allow", "Action": [ "log:GetResource", "log:ListResources", "log:GetResourceRecord", "log:ListResourceRecords" ], "Resource": [ "acs:log:*:*:resource/*" ] } ] }作成したカスタムポリシーをRAMユーザーに追加します。 詳細については、「」をご参照ください。RAMユーザーに権限を付与する.
RAMユーザーにアラートの管理を許可する
方法1: システムポリシーをアタッチする
RAMユーザーにSimple Log Service管理権限 (AliyunLogFullAccess) を付与します。詳細については、「」をご参照ください。RAMユーザーの承認.
方法2: カスタムポリシーを作成し、カスタムポリシーをアタッチする
にログインします。RAMコンソールAlibaba Cloudアカウントを使用するか、RAM管理者として使用します。
カスタムポリシーを作成します。 [JSON] タブで、エディターの既存のコンテンツを次のスクリプトに置き換えます。 詳細については、「」をご参照ください。スクリプト編集モードでカスタムポリシーを作成する.
重要プロジェクト名は、アラートデータを管理するための特定のプロジェクトを反映する必要があります。 それに応じて調整します。
sls-alert-* は、現在のAlibaba Cloudアカウントに関連付けられているすべてのグローバルアラートセンタープロジェクトを示します。 RAMユーザーに単一のグローバルアラートセンタープロジェクトの管理を許可するには、プロジェクト名としてsls-alert-* を
sls-alert-${uid}-${region}の形式で指定します (例:sls-alert-148 **** 6461-cn-hangzhou) 。RAMユーザーがLogstoreとインデックスを作成および管理できるようにするポリシーを作成します。これは、アラート関連のシステムLogstore (履歴アラートをアーカイブし、グローバルアラートセンターに属するものを含む) を監督し、アラート履歴などのアラート関連のレポートにアクセスするために不可欠です。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "log:GetLogStore", "log:UpdateLogStore", "log:CreateLogStore", "log:CreateIndex", "log:UpdateIndex" ], "Resource": [ "acs:log:*:*:project/Project name/logstore/internal-alert-history", "acs:log:*:*:project/sls-alert-*/logstore/internal-alert-center-log" ] }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": "acs:log:*:*:project/Project名称/job/*" }, { "Effect": "Allow", "Action": [ "log:GetProject", "log:CreateProject" ], "Resource": [ "acs:log:*:*:project/sls-alert-*" ] }, { "Effect": "Allow", "Action": [ "log:GetLogStoreLogs", "log:ListLogStores", "log:GetIndex", "log:GetDashboard", "log:CreateDashboard", "log:UpdateDashboard", "log:ListDashboard" ], "Resource": [ "acs:log:*:*:project/Project名称/*", "acs:log:*:*:project/sls-alert-*/*" ] }, { "Effect": "Allow", "Action": [ "log:*" ], "Resource": [ "acs:log:*:*:resource/*" ] } ] }作成したカスタムポリシーをRAMユーザーに追加します。 詳細については、「」をご参照ください。RAMユーザーに権限を付与する.