IAM 概述

日志服务支持通过 IAM 管理日志服务资源与操作的访问权限，进行更精细的权限管理。本文介绍 IAM 身份类型、权限策略、服务角色等信息。

简介

火山引擎主账号是火山引擎资源的拥有者，具备该账号下所有云资源的管理权限。为确保账户安全，火山引擎提供访问控制 IAM 服务，用于控制不同用户身份对云资源的访问权限。您可以通过主账号创建 IAM 用户、IAM 用户组和 IAM 角色并为其添加使用日志服务资源的权限。

账号类型

访问控制 IAM 包括三种身份：IAM 用户、IAM 用户组和 IAM 角色。

• IAM 用户是一种实体身份类型，由主账号或具备管理员权限的 IAM 用户创建。新建的 IAM 用户无任何权限，需要被授权后才能访问及操作云资源。
• IAM 用户组用于对职责相同的 IAM 用户进行分类，从而提升 IAM 用户及其权限的管理效率。
• IAM 角色是一种虚拟用户，不具备永久身份凭证，只能通过 STS（Security Token Service）获取可以自定义时效和访问权限的临时身份凭证（STS Token）。IAM 角色需要被一个可信的实体身份扮演。扮演成功后，可信实体将获得 IAM 角色的 STS Token 并访问云资源。关于 STS 的更多信息，请参考安全令牌服务(STS)。
  • 指定可信实体为 IAM 用户的主要应用场景为跨账号访问授权或临时授权。相关示例请参考基于 IAM 角色实现跨账号访问日志服务、通过 STS 访问日志服务。
  • 指定可信实体为服务的主要应用场景为跨服务访问授权。相关示例请参考跨服务访问授权。

权限策略

权限策略是通过语法结构描述的一组权限的集合，支持精确地定义被权限的资源范围、操作范围以及权限生效条件，用于满足企业对权限最小化的安全管控要求。详细说明，请参考策略概述。

策略语法

日志服务相关的策略授权语句（Statement）包含效力（Effect）、操作（Action）和资源（Resource）元素。详细说明，请参考基本结构。

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [],
      "Resource": [
        "*"
      ]
    }
  ]
}

策略分类

IAM 的权限策略分为系统预设策略和自定义策略。

系统预设策略

系统预设策略统一由火山引擎创建与维护，您只能使用，无法修改。日志服务支持的系统预设策略包括以下两种。

• TLSFullAccess：具备日志服务所有功能和所有资源的操作权限，例如创建日志主题、修改索引配置、删除日志主题、检索日志、上传日志等。
• TLSReadOnlyAccess：仅具备日志服务的只读权限，不能执行新建、编辑或删除资源等操作。

自定义策略

当系统预设的权限策略无法满足实际场景需求时，您可以创建自定义策略，以实现权限的精细化、最小化管控。例如允许某个 IAM 用户查看某个日志项目的资源、允许或是禁止某个接口的操作权限。日志服务相关的策略示例请参考自定义的权限策略示例。
您在创建自定义策略时，需根据实际需求设置操作（Action）和资源（Resource）。日志服务支持的操作与资源，请参考可授权的操作、可授权的资源。

服务角色

服务关联角色是一种可信实体为火山引擎服务的 IAM 角色，旨在解决跨云服务的授权访问问题。日志服务支持如下服务角色。