RAM ユーザーが Log Service API を使用してプライマリアカウントのリソースにアクセスするときに使用される認証ルール

Log Service API を使用してリソースアクセス管理(RAM)ユーザーがプライマリアカウントのリソースにアクセスすると、Log Service バックエンドは RAM 許可検査を実行し、リソース所有者が呼び出し元に関連するアクセス許可を与えていることを確認します。

異なる Log Service API は、関連するリソースと API の意味に従ってアクセス権をチェックする必要があるリソースを決定します。 各 API の認証ルールは次のとおりです。

ログストア
アクション リソース
Log: getlogstore acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}
log:ListLogStores acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/
log:CreateLogStore acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/
log:DeleteLogStore acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}
log:UpdateLogStore acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}
Loghub

このルールは、データの書き込みおよび消費のための API に適用されます。 データカーソルを取得するための API GetCursor と、データを取得するための API GetLog は同じアクション (log:GetCursorOrData) を共有します。

アクション リソース
log:GetCursorOrData acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}
log:ListShards acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}
Log: postlogstorelogs acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logstore/${logstoreName}
設定
アクション リソース
Log: createconfig acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/
log:UpdateConfig acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName}
log:DeleteConfig acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName}
log:GetConfig acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName}
log:ListConfig acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/
マシングループ
アクション リソース
log:CreateMachineGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/
log:UpdateMachineGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}
log:DeleteMachineGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}
log:GetMachineGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}
log:ListMachineGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/
log:ListMachines acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}
構成およびマシングループ用の対話型 API
アクション リソース
log:ApplyConfigToGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName} acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}
log:RemoveConfigFromGroup acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName} acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}
log:GetAppliedMachineGroups acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/logtailconfig/${logtailConfigName}
log:GetAppliedConfigs acs:log:${regionName}:${projectOwnerAliUid}:project/${projectName}/machinegroup/${machineGroupName}