日志服务可扮演 ServiceRoleForTLS 角色来实现跨服务访问其他云服务资源，本文介绍跨服务访问授权的相关操作步骤。

背景信息

服务关联角色是一种可信实体为火山引擎服务的 IAM 角色，旨在解决跨服务的授权访问问题。日志服务 ServiceRoleForTLS 角色是一个服务关联角色，具备一系列预设的权限策略，允许日志服务访问您账号下指定的云服务资源。例如使用日志服务投递功能时，日志服务将扮演 ServiceRoleForTLS 角色访问 TOS，并获取 TOS 桶列表等信息。

注意事项

• ServiceRoleForTLS 角色被创建后，日志服务可以持续访问已授权的相关资源，直至角色被删除。
• ServiceRoleForTLS 角色的权限由系统生成，无法变更权限。如果您需要取消授权，请删除角色。
• 定时 SQL 分析任务、免登录访问告警详情页面、订阅仪表盘、TOS 投递等功能都涉及 ServiceRoleForTLS 角色授权。您在任意一个功能模块中创建 ServiceRoleForTLS 角色后，其他功能模块都无需再次创建。
• 建议通过火山引擎主账号完成跨服务访问授权。
  使用 IAM 用户进行跨服务访问授权时，需先为 IAM 用户授予 IAMFullAccess 系统策略，详细说明请参考IAM 常见系统预设策略。

操作步骤

本文以在日志服务投递页面创建 ServiceRoleForTLS 角色为例。

1. 登录日志服务控制台。
2. 在顶部导航栏中，选择日志服务所在的地域。
3. 在左侧导航栏中，选择数据处理 > 日志投递。
4. 在日志投递页面，单击创建 TOS 投递配置。
5. 在弹出的跨服务访问请求页面，确认关联角色与信任关系，并单击授权。
   成功授权后，您可以在 IAM 的角色列表中查看已创建的 ServiceRoleForTLS 角色。