日志服务支持通过 IAM 管理日志服务资源与操作的访问权限,进行更精细的权限管理。本文介绍 IAM 身份类型、权限策略、服务角色等信息。
火山引擎主账号是火山引擎资源的拥有者,具备该账号下所有云资源的管理权限。为确保账户安全,火山引擎提供访问控制 IAM 服务,用于控制不同用户身份对云资源的访问权限。您可以通过主账号创建 IAM 用户、IAM 用户组和 IAM 角色并为其添加使用日志服务资源的权限。
访问控制 IAM 包括三种身份:IAM 用户、IAM 用户组和 IAM 角色。
权限策略是通过语法结构描述的一组权限的集合,支持精确地定义被权限的资源范围、操作范围以及权限生效条件,用于满足企业对权限最小化的安全管控要求。详细说明,请参考策略概述。
日志服务相关的策略授权语句(Statement)包含效力(Effect)、操作(Action)、资源(Resource)和条件(Condition)元素。详细说明,请参考基本结构。
{ "Statement": [ { "Effect": "Allow", "Action": [], "Resource": [ "*" ], "Condition": { "DateGreaterThanEquals": { "volc:CurrentTime":"2024-08-30T23:59:59Z" } } } ] }
IAM 的权限策略分为系统预设策略和自定义策略。
系统预设策略统一由火山引擎创建与维护,您只能使用,无法修改。日志服务支持的系统预设策略包括以下两种。
当系统预设的权限策略无法满足实际场景需求时,您可以创建自定义策略,以实现权限的精细化、最小化管控。例如允许某个 IAM 用户查看某个日志项目的资源、允许或是禁止某个接口的操作权限。日志服务相关的策略示例请参考自定义的权限策略示例。
您在创建自定义策略时,需根据实际需求设置操作(Action)和资源(Resource)。日志服务支持的操作与资源,请参考可授权的操作、可授权的资源。
访问控制服务支持通过可视化策略编辑器和 JSON 编辑器两种方式创建日志服务相关的自定义策略。具体操作,请参考新建自定义策略。
说明
主帐号具备所有接口的调用权限,使用 IAM 用户发起 API 请求时,该 IAM 用户必须具备调用该接口所需的权限,否则,API 请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的 IAM 用户被授予授权项所对应的策略,该 IAM 用户才能成功调用该接口。
服务关联角色是一种可信实体为火山引擎服务的 IAM 角色,旨在解决跨云服务的授权访问问题。日志服务支持如下服务角色。
服务角色 | 说明 |
---|---|
ServiceRoleForTLS | ServiceRoleForTLS 角色具备一系列预设的权限策略,允许日志服务访问您账号下指定的资源。详细说明,请参考跨服务访问授权。 |
最佳实践 | 说明 |
---|---|
日志服务支持通过安全令牌服务 STS 提供的临时身份凭证进行临时安全访问。 | |
在企业内部控制员工的日志服务资源访问权限时,可以通过 IAM Policy 实现不同岗位角色的权限控制与管理。 | |
通过 IAM 角色,可实现火山引擎账号 B 访问火山引擎账号 A 中的日志服务资源。 |