You need to enable JavaScript to run this app.
导航
IAM 概述
最近更新时间:2024.11.22 11:13:37首次发布时间:2022.05.12 10:34:40

日志服务支持通过 IAM 管理日志服务资源与操作的访问权限,进行更精细的权限管理。本文介绍 IAM 身份类型、权限策略、服务角色等信息。

简介

火山引擎主账号是火山引擎资源的拥有者,具备该账号下所有云资源的管理权限。为确保账户安全,火山引擎提供访问控制 IAM 服务,用于控制不同用户身份对云资源的访问权限。您可以通过主账号创建 IAM 用户、IAM 用户组和 IAM 角色并为其添加使用日志服务资源的权限。

账号类型

访问控制 IAM 包括三种身份:IAM 用户、IAM 用户组和 IAM 角色。

  • IAM 用户是一种实体身份类型,由主账号或具备管理员权限的 IAM 用户创建。新建的 IAM 用户无任何权限,需要被授权后才能访问及操作云资源。
  • IAM 用户组用于对职责相同的 IAM 用户进行分类,从而提升 IAM 用户及其权限的管理效率。
  • IAM 角色是一种虚拟用户,不具备永久身份凭证,只能通过 STS(Security Token Service)获取可以自定义时效和访问权限的临时身份凭证(STS Token)。IAM 角色需要被一个可信的实体身份扮演。扮演成功后,可信实体将获得 IAM 角色的 STS Token 并访问云资源。关于 STS 的更多信息,请参考安全令牌服务(STS)

权限策略

权限策略是通过语法结构描述的一组权限的集合,支持精确地定义被权限的资源范围、操作范围以及权限生效条件,用于满足企业对权限最小化的安全管控要求。详细说明,请参考策略概述

策略语法

日志服务相关的策略授权语句(Statement)包含效力(Effect)、操作(Action)、资源(Resource)和条件(Condition)元素。详细说明,请参考基本结构

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [],
      "Resource": [
        "*"
      ],
      "Condition": {
          "DateGreaterThanEquals": {
              "volc:CurrentTime":"2024-08-30T23:59:59Z"
          }
      }    
    }
  ]
}

策略分类

IAM 的权限策略分为系统预设策略和自定义策略。

系统预设策略

系统预设策略统一由火山引擎创建与维护,您只能使用,无法修改。日志服务支持的系统预设策略包括以下两种。

  • TLSFullAccess:具备日志服务所有功能和所有资源的操作权限,例如创建日志主题、修改索引配置、删除日志主题、检索日志、上传日志等。
  • TLSReadOnlyAccess:仅具备日志服务的只读权限,不能执行新建、编辑或删除资源等操作。

自定义策略

当系统预设的权限策略无法满足实际场景需求时,您可以创建自定义策略,以实现权限的精细化、最小化管控。例如允许某个 IAM 用户查看某个日志项目的资源、允许或是禁止某个接口的操作权限。日志服务相关的策略示例请参考自定义的权限策略示例
您在创建自定义策略时,需根据实际需求设置操作(Action)和资源(Resource)。日志服务支持的操作与资源,请参考可授权的操作可授权的资源
访问控制服务支持通过可视化策略编辑器和 JSON 编辑器两种方式创建日志服务相关的自定义策略。具体操作,请参考新建自定义策略

说明

主帐号具备所有接口的调用权限,使用 IAM 用户发起 API 请求时,该 IAM 用户必须具备调用该接口所需的权限,否则,API 请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的 IAM 用户被授予授权项所对应的策略,该 IAM 用户才能成功调用该接口。

服务角色

服务关联角色是一种可信实体为火山引擎服务的 IAM 角色,旨在解决跨云服务的授权访问问题。日志服务支持如下服务角色。

服务角色

说明

ServiceRoleForTLS

ServiceRoleForTLS 角色具备一系列预设的权限策略,允许日志服务访问您账号下指定的资源。详细说明,请参考跨服务访问授权

最佳实践

最佳实践

说明

通过 STS 访问日志服务

日志服务支持通过安全令牌服务 STS 提供的临时身份凭证进行临时安全访问。

通过 IAM 设置日志服务访问权限

在企业内部控制员工的日志服务资源访问权限时,可以通过 IAM Policy 实现不同岗位角色的权限控制与管理。

基于 IAM 角色实现跨账号访问日志服务

通过 IAM 角色,可实现火山引擎账号 B 访问火山引擎账号 A 中的日志服务资源。