Alibaba Cloud の Resource Access Management (RAM) は、ユーザーアカウント (ユーザー ID) を管理し、リソースへのアクセスを制御できるように設計されています。Alibaba Cloud アカウント下のリソースにアクセスできるユーザーアカウント (従業員、システム、アプリケーションなどのアカウント) を作成し、作成したユーザーのアクセス権を管理することができます。企業内で複数のユーザーが協働してリソースを操作する場合、RAM を使用することにより、Alibaba Cloud アカウントの AccessKey を複数のユーザーで共有する必要がなくなります。ユーザーに必要最小限の権限を付与することで、企業の情報セキュリティリスクを減らすことができます。

Log Service リソースに対する操作を適正に運用管理するには、RAM を使用して、RAM サービスロール、Log Service ユーザーロール、および RAM ユーザーに適切なアクセス権限を与えます。

ユーザーアカウントの管理

RAM ユーザーアカウントの管理作業を行います。Alibaba Cloud アカウント下の RAM ユーザーアカウントおよび RAM ユーザーグループを作成/管理、Log Service を代表するサービスロールを作成、リソースへの操作権限のあるユーザーロールを作成、また、アカウント間の権限付与管理といったことを行うことができます。

Log Service は、API Gateway や Server Load Balancer といったクラウドプロダクトのログを収集するのに役立ちます。設定する前に、クイック権限付与ページでサービスロールを作成し、権限を付与しておきます。

ロール デフォルトの権限 説明
AliyunLogArchiveRole AliyunLogArchiveRolePolicy Log Service の Server Load Balancer のログへのアクセスに使用されるデフォルトのロール。デフォルトで Server Load Balancer ログをエクスポートする権限が含まれます。すばやく権限を付与するには、クイック認可ページにアクセスします。
AliyunLogDefaultRole AliyunLogRolePolicy Log Service のデフォルトのロール。デフォルトで Object Storage Service (OSS) への書き込み権限が含まれます。すばやく権限を付与するには、クイック認可ページにアクセスします。
AliyunLogETLRole AliyunLogETLRolePolicy Log Service が ETL のため、他のクラウドプロダクトのリソースへのアクセスに使用されるデフォルトのロール。すばやく権限を付与するには、クイック認可ページにアクセスします。
AliyunMNSLoggingRole AliyunMNSLoggingRolePolicy Log Service の MNS (Alibaba Cloud Message Service) ログへのアクセスに使用されるデフォルトのロール。OSS への書き込み権限が含まれ、MNS ログをエクスポートする権限が含まれます。すばやく権限を付与するには、クイック認可ページにアクセスします。

RAM

Alibaba Cloud アカウント下の RAM ユーザーアカウント、グループ、ロールに適切なポリシーを割り当てることができます。

また、カスタムポリシーを作成したり、カスタムポリシー/システムポリシーをテンプレートにして、より詳細な設定を行うこともできます。 詳細については、「概要」をご参照ください。

Log Service は、次のシステムポリシーをサポートしています。

ポリシー タイプ 説明
AliyunLogFullAccess System policy Log Service の管理に必要なすべての権限
AliyunLogReadOnlyAccess System policy Log Service に対する読み取り権限

シナリオ

RAM ユーザーに Log Service へのアクセス権限を付与

通常は、Alibaba Cloud アカウントは Log Service の日常的な運用保守業務を RAM ユーザーに委任します。その際、RAM ユーザーが業務を遂行できるよう、Alibaba Cloud アカウント下の RAM ユーザーアカウントに権限を付与する必要があります。セキュリティの観点から、RAM ユーザーアカウントには必要最小限の権限を付与することをお勧めします。

設定の詳細については、RAM ユーザーに Log Service へのアクセス権限を付与をご参照ください。

サービスロールでログの読み取り権限を付与

Log Service は、ログの内容に即したアラーム機能を提供します。Log Service サービスアカウントに、ログデータを読み取る権限を付与する必要があります。

設定の詳細については、サービスロールをご参照ください。

ユーザーロールに Log Service の操作実行権限を付与

RAM ユーザーロールは、ID 認証用 AccessKey を有さない仮想ユーザーです。Alibaba Cloud アカウント、RAM ユーザーアカウント、クラウドサービスアカウントといった信頼できるユーザーにロールを割り当てる必要があります。ロールを割り当てられたユーザーは、この RAM ユーザーロールの一時的なセキュリティトークンを受け取ります。ユーザーはこのセキュリティトークンを使用することにより、RAM ユーザーロールとして許可されているリソースにアクセスできます。

  • 信頼できるユーザーに Log Service の操作権限を付与し、ユーザーの RAM ロールで Log Service で操作を実行できるようにします。 設定の詳細については、サービスロールをご参照ください。
  • モバイルアプリケーションクライアントより Log Service に直接接続し、アプリケーションログを Log Service に直接アップロードできるよう、モバイルアプリケーションに権限を付与します。 設定の詳細については、「モバイルアプリケーションに Log Service への直接接続権を付与」をご参照ください。