子账号授权

最近更新时间:2024-10-18 10:20:11

我的收藏

简介

日志服务(Cloud Log Service,CLS)通过访问管理(Cloud Access Management,CAM)对子账号进行授权。用户可以通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用腾讯云资源的权限,CAM 策略的详细信息及使用方式请参见 CAM 策略 文档。




预设权限策略

日志服务预设两条权限策略,可满足最基本的权限管理需求。
CLS读写权限(QcloudCLSFullAccess):具备日志服务所有功能及所有资源的权限,例如创建日志主题、修改索引配置、删除日志主题、检索日志、上传日志等。
CLS只读权限(QcloudCLSReadOnlyAccess):仅具备数据查看权限,不能执行新建、编辑或删除类型的操作。
配置方式参见 授权管理 文档。

自定义权限策略

预设策略无法满足权限管控需求时,可通过自定义权限策略实现更细粒度的权限划分,例如仅允许某个用户查看特定日志主题的数据。
自定义权限策略主要由两部分组成:
操作(Action):用户可进行的操作,例如:检索日志、修改索引配置、上传日志、创建告警策略等。
资源(Resource):可操作的资源范围,例如:特定的日志主题、仪表盘、数据加工任务等。
日志服务支持授权的资源类型及相关接口参见 可授权的资源类型,配置方式参见 创建自定义策略
自定义权限策略配置较为复杂,实际使用过程中可参见 CLS 访问策略模板,这些示例能够满足大多数的权限管理需求,也可以基于这些策略示例再进行个性化调整。详细操作方式如下:
1. 主账号(或具备 CAM 管理权限的用户)在 策略 页面,单击新建自定义策略


2. 在弹出的窗口中,单击按策略语法创建
3. 在选择策略模板页面,选择空白模板,单击下一步
4. 在编辑策略页面,设置策略名称,输入策略内容,策略内容可从 CLS 访问策略模板 中进行复制。例如:需要给子账号赋予使用Loglistener采集数据的权限,拷贝如下图所示的策略:




5. 单击完成,保存该策略。创建完成自定义策略后,可通过 授权管理 将策略关联至用户/用户组/角色,使用户/用户组/角色获得对应的操作权限。