基于 IAM 管理权限

访问控制 IAM 是火山引擎提供的云服务，用于安全管理云账户下资源的访问权限。日志服务已对接 IAM，支持通过 IAM 管理日志服务资源与操作的访问权限，进行更精细的权限管理。您可以通过主账号创建 IAM 用户，并为其配置使用日志服务资源的权限。
IAM 支持的访问策略包括系统预设策略与用户自定义策略。

账号类型

IAM 将账号类型分为主账号与 IAM 用户。主账号是所有火山引擎资源的拥有者，具备所有云资源的管理权限。主账号可以创建多个 IAM 用户，并为 IAM 用户进行授权。授权后，IAM 用户才可以基于被授予的权限对日志服务资源进行操作。

权限策略

策略以 API 接口为粒度进行权限拆分，授权更加精细，可以精确到某个操作、资源和条件，满足企业对权限最小化的安全管控要求。IAM 的权限策略分为系统预设策略和用户自定义策略。

系统预设策略

日志服务支持的系统预设策略包括以下两种。

• 全读写访问权限（TLSFullAccess）：具备日志服务所有功能和所有资源的操作权限，例如创建日志主题、修改索引配置、删除日志主题、检索日志、上传日志等。
• 只读访问权限（TLSReadOnlyAccess）：仅具备日志服务数据的只读权限，不能执行新建、编辑或删除类型的操作。

用户自定义策略

如果系统预设的权限策略无法满足实际场景需求，需要更细粒度的权限策略，例如允许某个 IAM 用户查看某个日志项目的资源、允许或是禁止某个接口的操作权限，您可以创建用户自定义策略，并为指定 IAM 用户授权。
帐号具备所有接口的调用权限，如果使用帐号下的 IAM 用户发起 API 请求时，该 IAM 用户必须具备调用该接口所需的权限，否则，API 请求将调用失败。每个接口所需要的权限，与各个接口所对应的授权项相对应，只有发起请求的用户被授予授权项所对应的策略，该用户才能成功调用该接口。
自定义权限策略通过语法指定策略内容，其中包括操作和资源。

• 操作（Action）：用户可进行的操作，例如检索日志、修改索引配置、上传日志、创建告警策略等。
• 资源（Resource）：可操作的资源范围，例如特定的日志主题、仪表盘、数据加工任务等。

日志服务支持授权的资源类型及相关动作请参考可授权的资源和可授权的操作。