RAM コンソールの承認後に、 RAM ユーザーでご使用のプライマリアカウントの Access Log Service リソースにアクセスする方法

作成されるプロジェクト、Logstore、設定、およびマシングループは独自のリソースです。 デフォルトで、独自のリソースに対して完全な操作権限が与えられ、このページで説明されているすべての API を使用してリソースを操作できます。

ただし、プライマリアカウントにサブアカウントが存在するシナリオでは、権限のないサブアカウントを使ってプライマリアカウントのリソースに対して操作を実行できません。 RAM 承認を使用して、プライマリアカウントのリソースに対する操作を実行するには、RAM ユーザーにアクセス許可を与える必要があります。

RAM を使ってプライマリアカウントの Log Service リソースへのアクセス許可を与える前に、「ユーザー」と「概要」をご一読ください。
Log Service の許可ポリシーは RAM コンソールで使用できます。
  • AliyunLogFullAccess
    このポリシーは、プライマリアカウントの Log Service リソースへの完全なアクセス許可をサブアカウントに与えるために使用されます。 権限ポリシーは、次のように記述されます。
      {
        "Version": "1",
        "Statement": [
          {
            "Action": "log:*",
            "Resource": "*",
            "Effect":"Allow"
          }
        ]
      }
  • AliyunLogReadOnlyAccess
    このポリシーは、プライマリアカウントのログサービスリソースへの読み取り専用アクセス許可をサブアカウントに与えるために使用されます。 権限付与ポリシーは、次にように記述されます。
     {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "log:Get*",
              "log:List*"
            ],
            "Resource": "*",
            "Effect":"Allow"
          }
        ]
      }
  • 指定された Log Store へのデータのアップロード

    このポリシーは、API/SDK を使用して指定された Logstore へ直接データをアップロードする許可をサブアカウントに与えるために使用されます。 権限ポリシーは、次のように記述されます。

      {
        "Version": "1",
        "Statement": [
          {
            "Action": [
              "log:Post*",
              "log:BatchPost*"
            ],
            "Resource": ["acs:log:*:*:project/<specific proejct name>/logstore/<specific logstore name>"],
            "Effect": "Allow"
          }
        ]
      }
  • コンソール上の指定された Logstore のデータの照会
    このポリシーは、プライマリアカウントの指定された Logstore リソースへの読み取り専用アクセス (ログの表示と抽出、および Logstore リストの表示) をサブアカウントに与えるために使用されます。 権限ポリシーは、次のように記述されます。
      {
        "Version": "1",
        "Statement": [
          {
            "Action": ["log:ListProject", "log:ListLogStores"],
            "Resource": ["acs:log:*:*:project/<specific project name>/*"],
            "Effect": "Allow"
          },
          {
            "Action": ["log:Get*"],
            "Resource": ["acs:log:*:*:project/<specific proejct name>/logstore/<specific logstore name>"],
            "Effect": "Allow"
          }
        ]
      }

別のアカウントの Log Service リソースへのアクセス権限をアカウントに与える必要がない場合は、このセクションをスキップできます。 このセクションをスキップしても、ファイル内の残りの部分は問題なく理解し使用することができます。