最近更新时间:2024.03.07 11:33:44
首次发布时间:2022.05.12 10:34:40
访问控制 IAM 是火山引擎提供的云服务,用于安全管理云账户下资源的访问权限。日志服务已对接 IAM,支持通过 IAM 管理日志服务资源与操作的访问权限,进行更精细的权限管理。您可以通过主账号创建 IAM 用户,并为其配置使用日志服务资源的权限。
IAM 支持的访问策略包括系统预设策略与用户自定义策略。
IAM 将账号类型分为主账号与 IAM 用户。主账号是所有火山引擎资源的拥有者,具备所有云资源的管理权限。主账号可以创建多个 IAM 用户,并为 IAM 用户进行授权。授权后,IAM 用户才可以基于被授予的权限对日志服务资源进行操作。
策略以 API 接口为粒度进行权限拆分,授权更加精细,可以精确到某个操作、资源和条件,满足企业对权限最小化的安全管控要求。IAM 的权限策略分为系统预设策略和用户自定义策略。
日志服务支持的系统预设策略包括以下两种。
如果系统预设的权限策略无法满足实际场景需求,需要更细粒度的权限策略,例如允许某个 IAM 用户查看某个日志项目的资源、允许或是禁止某个接口的操作权限,您可以创建用户自定义策略,并为指定 IAM 用户授权。
帐号具备所有接口的调用权限,如果使用帐号下的 IAM 用户发起 API 请求时,该 IAM 用户必须具备调用该接口所需的权限,否则,API 请求将调用失败。每个接口所需要的权限,与各个接口所对应的授权项相对应,只有发起请求的用户被授予授权项所对应的策略,该用户才能成功调用该接口。
自定义权限策略通过语法指定策略内容,其中包括操作和资源。