- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 实践教程
- 开发者指南
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Topic Management APIs
- Log Set Management APIs
- Index APIs
- Topic Partition APIs
- Machine Group APIs
- Collection Configuration APIs
- Log APIs
- Metric APIs
- Alarm Policy APIs
- Data Processing APIs
- Kafka Protocol Consumption APIs
- CKafka Shipping Task APIs
- Kafka Data Subscription APIs
- COS Shipping Task APIs
- SCF Delivery Task APIs
- Scheduled SQL Analysis APIs
- COS Data Import Task APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CLS 政策
- 联系我们
- 词汇表
- 动态与公告
- 新手指引
- 产品简介
- 购买指南
- 快速入门
- 操作指南
- 实践教程
- 开发者指南
- API 文档
- History
- Introduction
- API Category
- Making API Requests
- Topic Management APIs
- Log Set Management APIs
- Index APIs
- Topic Partition APIs
- Machine Group APIs
- Collection Configuration APIs
- Log APIs
- Metric APIs
- Alarm Policy APIs
- Data Processing APIs
- Kafka Protocol Consumption APIs
- CKafka Shipping Task APIs
- Kafka Data Subscription APIs
- COS Shipping Task APIs
- SCF Delivery Task APIs
- Scheduled SQL Analysis APIs
- COS Data Import Task APIs
- Data Types
- Error Codes
- 常见问题
- 服务等级协议
- CLS 政策
- 联系我们
- 词汇表
简介
日志服务(Cloud Log Service,CLS)包含多种资源类型,部分接口支持按资源为用户配置权限,例如 对指定日志主题具备管理权限。
在访问管理(Cloud Access Management,CAM)中可授权的资源类型如下表,其中“按标签授权”是指该类型资源是否支持通过标签的方式指定用户具备操作权限的资源范围。
资源类型 | 授权策略中的资源描述方法 | 按标签授权 |
日志集 | qcs::cls:$region:$account:logset/*qcs::cls:$region:$account:logset/$logsetId | 支持 |
日志主题 | qcs::cls:$region:$account:topic/*qcs::cls:$region:$account:topic/$topicId | 支持 |
机器组 | qcs::cvm:$region:$account:machinegroup/*qcs::cvm:$region:$account:machinegroup/$machinegroupId | 支持 |
采集配置 | qcs::cls:$region:$account:config/*qcs::cls:$region:$account:config/$configId | 不支持 |
仪表盘 | qcs::cls:$region:$account:dashboard/*qcs::cls:$region:$account:dashboard/$dashboardId | 支持 |
告警策略 | qcs::cls:$region:$account:alarm/*qcs::cls:$region:$account:alarm/$alarmId | 不支持 |
通知渠道组 | qcs::cls:$region:$account:alarmNotice/*qcs::cls:$region:$account:alarmNotice/$alarmNoticeId | 不支持 |
数据加工任务 | qcs::cls:$region:uin/$account:datatransform/*qcs::cls:$region:uin/$account:datatransform/$TaskId | 不支持 |
投递任务(COS) | qcs::cls:$region:$account:shipper/*qcs::cls:$region:$account:shipper/$shipperId | 不支持 |
其他资源类型(已废弃,仅老版本 API 使用) | 仪表盘内的单个图表: qcs::cls:$region:$account:chart/*qcs::cls:$region:$account:chart/$chartId | 不支持 |
其中,
$region、$account等变量参数需修改为您实际的参数信息。日志服务支持的所有接口及其对应的资源描述方法,请参见 CAM 的数据处理与分析> 日志服务文档。其中,“授权粒度”为“资源级”的接口支持以上述资源类型按资源方式为用户配置权限,“授权粒度”为“接口级”的接口在 CAM 权限策略中对应的资源范围必须为
*。实践建议
由于日志服务中不同类型的资源之间具备关联关系,例如日志集包含日志主题,日志主题需应用采集配置至机器组;如果直接按照资源 ID 的方式在 CAM 权限策略中为用户配置权限存在较大的管理难度,容易导致用户在部分接口下出现无权限错误。因此,建议按照如下方式配置CAM权限策略:
针对支持按标签授权的资源类型及对应接口,为相关的资源绑定标签,然后通过标签的方式指定用户具备操作权限的资源范围。例如同时为日志主题、日志集及相关的仪表盘绑定标签,然后 对指定标签的日志主题赋予管理权限,对指定标签的日志主题及仪表盘赋予管理权限。这两条策略可以使用户同时具备这三类资源相关接口的操作权限。
针对不支持按标签授权的资源类型及对应接口,为简化管理,可直接以
*作为 CAM 权限策略中的资源范围,即所有资源。为避免普通用户误操作,可针对普通用户配置只读权限,针对管理用户配置管理权限,例如 管理权限:对所有数据加工任务具备管理权限 和 只读权限:对所有数据加工任务具备只读权限。说明:
是
否
本页内容是否解决了您的问题?