このトピックでは、システムポリシーまたはカスタムポリシーを使用して、RAM ユーザーに ActionTrail リソースの使用を許可する方法について説明します。
始める前に
- ActionTrail API の操作と説明を確認します。 詳細は、「RAM アカウントへの権限付与」をご参照ください。
- RAM ポリシーの構造と構文を確認します。 詳細は、「ポリシー構造と構文」 をご参照ください。
手順
- RAM ユーザーを作成します。
詳細は、「RAM ユーザーの作成」をご参照ください。
- RAM ユーザに権限を付与します。
- RAM ユーザーに必要な権限を付与するには、後述の「ActionTrail 関連のシステムポリシー」に従って 1 つ以上のシステムポリシーを割り当てます。
詳細は、「RAM での権限付与」をご参照ください。
- RAM ユーザーに細かく権限を付与するには、後述の「許可例」に従ってカスタムポリシーを作成します。
詳細は、「カスタマイズポリシーの作成」をご参照ください。
- RAM ユーザーに必要な権限を付与するには、後述の「ActionTrail 関連のシステムポリシー」に従って 1 つ以上のシステムポリシーを割り当てます。
ActionTrail 関連のシステムポリシー
次の表は、ActionTrail で一般的に使用されているシステムポリシーの一覧です。
| システムポリシー | 説明 |
|---|---|
| AliyunActionTrailFullAccess | RAM ユーザーに ActionTrail リソースに対するフル管理権限を付与します。 |
| AliyunActionTrailReadOnlyAccess | RAM ユーザーに ActionTrail リソースに対する読み取り専用権限を付与します。 |
許可例
- 例 1:RAM 管理者として、ユーザーに読み取り専用権限を付与します。
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "actiontrail:LookupEvents", "actiontrail:Describe*", "actiontrail:Get*" ], "Resource": "*" }] } - 例 2:RAM 管理者として、特定の IP アドレスからログインしたユーザーに読み取り専用権限を付与します。
{ "Version": "1", "Statement": [{ "Effect": "Allow", "Action": [ "actiontrail:LookupEvents", "actiontrail:Describe*", "actiontrail:Get*" ], "Resource": "*", "Condition":{ "IpAddress": { "acs:SourceIp": "42.120.XX.X/24" } } }] }