投递授权配置
最近更新时间: 2024-10-17 17:10:00
日志服务将日志投递至 对象存储的过程中,需要用户确认授予日志服务具有写 对象存储的权限。用户需要为日志服务的唯一服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限。下面将会从不同的操作场景详细介绍如何配置授权。
控制台:协作者或子账号配置投递任务
协作者或子账号在日志服务控制台上进行投递任务配置时,需要主账号授权必要的权限,否则无法顺利进行投递配置。协作者或子账号在配置投递任务时,会依赖以下权限:
权限名称 | 描述说明 | 应用场景 |
---|---|---|
CLS 预设策略:QcloudCLSFullAccess | 协作者或子账号可以操作日志服务的权限 | 协作者或子账号需要此权限才能 操作日志服务进行投递任务的配置 |
CAM 预设策略:QcloudCamSubaccountsAuthorizeRoleFullAccess | 协作者或子账号可以授权服务角色的权限 | 日志投递至对象存储时,需要协作者或子账号确认角色授权,使 CLS 具有写对象存储的权限,即为服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限 |
COS 接口权限:GetService (或预设策略:QcloudCOSReadOnlyAccess) |
协作者或子账号可以获取对象存储的存储桶列表的权限 | 控制台配置投递至对象存储任务的过程中,需要拉取 对象存储的存储桶列表,然后选择投递的目标存储桶 |
主账号授权步骤
主账号登录 CAM 访问管理控制台,左侧选择【用户】>【用户列表】进入到目标用户的详情页。
在详情页中单击【关联策略】,选择【从策略列表中选取策略关联】。
为协作者或子账号关联预设策略:QcloudCLSFullAccess、QcloudCamSubaccountsAuthorizeRoleFullAccess、QcloudCOSReadOnlyAccess。
协作者或子账号配置投递任务
注意:
主账号必须完成授权操作,否则协作者或子账号无法正常进行投递配置。
协作者或子账号登录控制台:协作者或子账号配置投递任务
协作者或子账号在日志服务控制台上进行投递任务配置时,需要主账号授权必要的权限,否则无法顺利进行投递配置。协作者或子账号在配置投递任务时,会依赖以下权限:
权限名称 | 描述说明 | 应用场景 |
---|---|---|
CLS 预设策略:QcloudCLSFullAccess | 协作者或子账号可以操作日志服务的权限 | 协作者或子账号需要此权限才能操作日志服务进行投递任务的配置 |
CAM 预设策略:QcloudCamSubaccountsAuthorizeRoleFullAccess | 协作者或子账号可以授权服务角色的权限 | 日志投递至对象存储或 Ckafka 时,需要协作者或子账号确认角色授权,使 CLS 具有写对象存储的权限,即为服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限 |
COS 接口权限:GetService (或预设策略:QcloudCOSReadOnlyAccess) |
协作者或子账号可以获取 对象存储的存储桶列表的权限 | 控制台配置投递至对象存储任务的过程中,需要拉取 对象存储的存储桶列表,然后选择投递的目标存储桶 |
主账号授权步骤
主账号登录CAM 访问管理控制台,左侧选择【用户】>【用户列表】进入到目标用户的详情页。
在详情页中单击【关联策略】,选择【从策略列表中选取策略关联】。
为协作者或子账号关联预设策略:QcloudCLSFullAccess、QcloudCamSubaccountsAuthorizeRoleFullAccess、QcloudCOSReadOnlyAccess。
协作者或子账号配置投递任务
注意:
主账号必须完成授权操作,否则协作者或子账号无法正常进行投递配置。
协作者或子账号登录日志服务控制台,进入日志主题详情页。
在投递至对象存储页面进行投递配置时,会弹出为服务角色授权的提示,单击【前往访问管理】。
单击【同意授权】后,继续完成投递任务配置即可。
API:配置投递任务
若通过 API 方式配置投递任务,需要提前为日志服务的服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限。
授权步骤
登录 CAM 访问管理控制台,左侧选择【角色】。
单击【新建角色】,选择【腾讯云产品服务】作为角色载体,载体选择【日志服务】。
对角色进行策略关联,投递至对象存储需关联 QcloudCOSAccessForCLSRole。
API 配置投递任务
注意:
必须先完成角色授权,否则 CLS 无法正常投递日志。
登录日志服务控制台,进入日志主题详情页。
在投递至对象存储页面进行投递配置时,会弹出为服务角色授权的提示,单击【前往访问管理】。
单击【同意授权】后,继续完成投递任务配置即可。
API:配置投递任务
若通过 API 方式配置投递任务,需要提前为日志服务的服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限。
授权步骤
登录CAM 访问管理控制台,左侧选择【角色】。
单击【新建角色】,选择【产品服务】作为角色载体,载体选择【日志服务】。
对角色进行策略关联,投递至对象存储需关联 QcloudCOSAccessForCLSRole。
API 配置投递任务
注意:
必须先完成角色授权,否则 CLS 无法正常投递日志。
根据投递COS任务相关的接口文档配置投递参数即可。