当对火山引擎账号 A 中的日志服务数据进行加工，并将加工结果写入到火山引擎账号 B 中的日志服务时，您需要先参考本文创建具备跨账号加工权限的自定义角色。

配置说明

为实现跨帐号数据加工操作，需先在火山引擎账号 B 中完成如下配置。

1. 创建一个自定义权限策略，例如命名为 tls-etl-access，该权限策略需具备目标 Topic 的查询及写入权限。
2. 创建一个自定义角色，例如命名为 TLSCrossAccountTransformation。
3. 为角色授予权限，为已创建的 TLSCrossAccountTransformation 角色授予 tls-etl-access 权限。

完成授权后，您可以在账号 A 中创建加工任务。在加工过程中，加工任务将扮演上述角色，对账号 A 中的日志服务数据进行加工并写入到账号 B 的日志服务中。

操作步骤

1. 使用账号 B 登录访问控制 IAM 控制台。

2. 创建自定义权限策略。

   1. 在左侧导航栏中，单击权限策略。
   2. 在权限策略页面，单击新建自定义策略。
   3. 在新建自定义策略页面，设置策略名称（例如 tls-etl-access），然后在 JSON 编辑器中，输入如下策略脚本，单击提交。

      {
        "Statement": [
          {
            "Effect": "Allow",
            "Action": [
              "tls:DescribeTopic",
              "tls:PutLogs"
            ],
            "Resource": [
              "*"
            ]
          }
        ]
      }
      

3. 创建角色。

   1. 在左侧导航栏中，单击角色管理。
   2. 在角色管理页面，单击新建角色。
   3. 在新建角色面板中，完成如下配置。
      1. 设置选择信任身份类型为账号，设置选择身份为其他账号，设置账号ID为账号 A 的 ID，然后单击下一步。
      2. 设置角色名，然后单击下一步。
         角色名必须以 TLSCrossAccount 开头，例如 TLSCrossAccountTransformation。
      3. 为角色选择 tls-etl-access 权限策略，然后单击提交。

4. 修改角色的信任关系。

   1. 在角色管理页面，单击上一步已创建的角色。
   2. 在信任关系页签下，单击编辑信任策略。
   3. 将 trn 中的 root 修改为 role/ServiceRoleForTLS，然后单击保存。
      

5. 记录角色 TRN。
   
   您在创建跨账号加工任务时，需输入该角色 TRN。具体操作，请参考创建数据加工任务。