Log Audit Serviceアプリケーションを使用すると、複数のAlibaba CloudアカウントのAlibaba Cloudサービスからログを収集できます。 ログを収集する前に、Simple Log Serviceに必要なクラウドサービスからログを収集する権限を付与し、関連するアカウントにデータを同期する権限を付与する必要があります。 権限付与を実行するには、必要な権限を持つRAM (Resource Access Management) ユーザーのAccessKeyペアを使用できます。 このトピックで説明する手順に従って、RAMでカスタムポリシーを作成することもできます。
背景情報
Log Audit Serviceアプリケーションを使用して、Alibaba cloudアカウントまたは複数のAlibaba Cloudアカウントのクラウドサービスログを収集できます。 複数のAlibaba cloudアカウント間でクラウドサービスログを収集するには、現在のAlibaba Cloudアカウントと他のAlibaba Cloudアカウント間で相互アクセス権限を付与する必要があります。
AliyunServiceRoleForSLSAuditサービスにリンクされたロールが作成されると、現在のAlibaba Cloudアカウントに必要な権限が付与されます。 詳細については、「ログ監査サービスの初期設定」をご参照ください。 他のAlibaba Cloudアカウントにカスタム権限を付与する場合は、このトピックで説明されている手順を実行できます。
現在のAlibaba Cloudアカウントに、他のAlibaba Cloudアカウントからのログを、現在のAlibaba Cloudアカウント内の監査ログ専用のLogstoreに同期する権限を付与する必要があります。
他のAlibaba Cloudアカウントに、現在のAlibaba Cloudアカウント内の監査ログ専用のLogstoreにログを同期する権限を付与する必要があります。
Simple Log ServiceのLog Audit Serviceアプリケーションには、複数のロールとポリシーが含まれます。 次の表に、ロールとポリシーの関係を示します。
現在のAlibaba Cloudアカウント
ロール
ポリシー
その他のAlibaba Cloudアカウント
ロール
ポリシー
手順
他のAlibaba Cloudアカウントのいずれかを使用して、RAMコンソール.
RAMユーザーを使用して権限付与を完了することを推奨します。 RAMユーザーには、RAMリソースに対する読み取りおよび書き込み権限が必要です。 たとえば、AliyunRAMFullAccessポリシーがアタッチされているRAMユーザーに必要な権限があります。
AliyunLogAuditServiceMonitorAccessという名前のポリシーを作成します。
左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、[ポリシーの作成] をクリックします。
[ポリシーの作成] ページで、[JSON] タブをクリックします。
コードエディターの内容を次のスクリプトに置き換えます。
{ "Version": "1", "Statement": [ { "Action": "log:*", "Resource": [ "acs:log:*:*:project/slsaudit-*", "acs:log:*:*:app/audit" ], "Effect": "Allow" }, { "Action": [ "rds:ModifySQLCollectorPolicy", "vpc:*FlowLog*", "drds:*SqlAudit*", "kvstore:ModifyAuditLogConfig", "polardb:ModifyDBClusterAuditLogCollector", "config:UpdateIntegratedServiceStatus", "config:StartConfigurationRecorder", "config:PutConfigurationRecorder", "pvtz:DescribeResolveAnalysisScopeStatus", "pvtz:SetResolveAnalysisScopeStatus" ], "Resource": "*", "Effect": "Allow" }, { "Action": "ram:CreateServiceLinkedRole", "Resource": "*", "Effect": "Allow", "Condition": { "StringEquals": { "ram:ServiceName": [ "config.aliyuncs.com", "pvtz.aliyuncs.com" ] } } } ] }[次へ] をクリックしてポリシー情報を編集します。 表示されるページで、パラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
名前
AliyunLogAuditServiceMonitorAccessを入力します。
説明
ポリシーのコメントを入力します。
という名前のロールを作成します。sls-audit-service-monitor.
左側のナビゲーションウィンドウで、 を選択します。 表示されるページで、[ロールの作成] をクリックします。
では、ロールタイプの選択ステップ、選択Alibaba Cloudサービスをクリックし、次へ.
[ロールの設定] ステップで、パラメーターを設定し、[OK] をクリックします。 下表にパラメーターを示します。
パラメーター
説明
ロールタイプ
[通常のサービスロール] を選択します。
RAMロール名
sls-audit-service-monitorと入力します。
信頼できるサービスの選択
ドロップダウンリストからLog Serviceを選択します。
では、仕上げステップ、クリックRAMロールへの権限の追加.
表示されるページで、[権限付与] をクリックします。
AliyunLogAuditServiceMonitorAccessポリシーをsls-audit-service-monitorロールにアタッチします。
[権限付与] パネルで、[ポリシーの選択] セクションに移動し、[カスタムポリシー] の下の [AliyunLogAuditServiceMonitorAccess] ポリシーを選択し、[システムポリシー] の下の [ReadOnlyAccess] ポリシーを選択します。 次に、[OK] をクリックします。
sls-audit-service-monitorロールの信頼ポリシーを変更します。
[信頼ポリシー] タブをクリックします。 タブで、[信頼ポリシーの編集] をクリックし、コードエディターの既存のコンテンツを次のスクリプトに置き換え、[信頼ポリシードキュメントの保存] をクリックします。
Alibaba CloudアカウントIDを実際のIDに置き換えます。 Alibaba CloudアカウントのIDは、アカウントセンターで確認できます。
{ "Statement": [ { "Action": "sts:AssumeRole", "Effect": "Allow", "Principal": { "Service": [ "Alibaba Cloud account ID@log.aliyuncs.com", "log.aliyuncs.com" ] } } ], "Version": "1" }