简介
日志服务(Cloud Log Service,CLS)包含多种资源类型,部分接口支持按资源为用户配置权限,例如 对指定日志主题具备管理权限。
在访问管理(Cloud Access Management,CAM)中可授权的资源类型如下表,其中“按标签授权”是指该类型资源是否支持通过 标签 的方式指定用户具备操作权限的资源范围。
资源类型 | 授权策略中的资源描述方法 | 按标签授权 |
日志集 | qcs::cls:$region:$account:logset/*qcs::cls:$region:$account:logset/$logsetId | 支持 |
日志主题 | qcs::cls:$region:$account:topic/*qcs::cls:$region:$account:topic/$topicId | 支持 |
机器组 | qcs::cvm:$region:$account:machinegroup/*qcs::cvm:$region:$account:machinegroup/$machinegroupId | 支持 |
采集配置 | qcs::cls:$region:$account:config/*qcs::cls:$region:$account:config/$configId | 不支持 |
仪表盘(无地域资源) | qcs::cls::$account:dashboard/*qcs::cls::$account:dashboard/$dashboardId | 支持 |
告警策略 | qcs::cls:$region:$account:alarm/*qcs::cls:$region:$account:alarm/$alarmId | 支持 |
通知渠道组 | qcs::cls:$region:$account:alarmNotice/*qcs::cls:$region:$account:alarmNotice/$alarmNoticeId | 支持 |
数据加工任务 | qcs::cls:$region:uin/$account:datatransform/*qcs::cls:$region:uin/$account:datatransform/$TaskId | 不支持 |
投递任务(COS) | qcs::cls:$region:$account:shipper/*qcs::cls:$region:$account:shipper/$shipperId | 不支持 |
DataSight 独立控制台(无地域资源) | qcs::cls::$account:datasight/*
qcs::cls::$account:datasight/datasightId | 支持 |
其他资源类型(已废弃,仅老版本 API 使用) | 仪表盘内的单个图表: qcs::cls:$region:$account:chart/*qcs::cls:$region:$account:chart/$chartId | 不支持 |
其中,
$region、$account等变量参数需修改为您实际的参数信息,仪表盘为无地域资源,不需要填写region参数。日志服务支持的所有接口及其对应的资源描述方法,参见 支持 CAM 的业务接口 > 日志服务。其中,“授权粒度”为“资源级”的接口支持以上述资源类型按资源方式为用户配置权限,“授权粒度”为“操作级”的接口在 CAM 权限策略中对应的资源范围必须为
*。实践建议
由于日志服务中不同类型的资源之间具备关联关系,例如日志集包含日志主题,日志主题需应用采集配置至机器组;如果直接按照资源 ID 的方式在 CAM 权限策略中为用户配置权限存在较大的管理难度,容易导致用户在部分接口下出现无权限错误。因此,建议按照如下方式配置 CAM 权限策略:
针对支持按标签授权的资源类型及对应接口,为相关的资源绑定标签,然后通过标签的方式指定用户具备操作权限的资源范围。例如同时为日志主题、日志集及相关的仪表盘绑定标签,然后 对指定标签的日志主题赋予管理权限(含日志集),对指定标签的仪表盘赋予管理权限。这两条策略可以使用户同时具备这三类资源相关接口的操作权限。
针对不支持按标签授权的资源类型及对应接口,为简化管理,可直接以
*作为 CAM 权限策略中的资源范围,即所有资源。为避免普通用户误操作,可针对普通用户配置只读权限,针对管理用户配置管理权限,例如 管理权限:对所有数据加工任务具备管理权限 和 只读权限:对所有数据加工任务具备只读权限。说明
