投递授权配置

最近更新时间: 2024-10-17 17:10:00

日志服务将日志投递至 对象存储的过程中,需要用户确认授予日志服务具有写 对象存储的权限。用户需要为日志服务的唯一服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限。下面将会从不同的操作场景详细介绍如何配置授权。

控制台:协作者或子账号配置投递任务

协作者或子账号在日志服务控制台上进行投递任务配置时,需要主账号授权必要的权限,否则无法顺利进行投递配置。协作者或子账号在配置投递任务时,会依赖以下权限:

权限名称 描述说明 应用场景
CLS 预设策略:QcloudCLSFullAccess 协作者或子账号可以操作日志服务的权限 协作者或子账号需要此权限才能
操作日志服务进行投递任务的配置
CAM 预设策略:QcloudCamSubaccountsAuthorizeRoleFullAccess 协作者或子账号可以授权服务角色的权限 日志投递至对象存储时,需要协作者或子账号确认角色授权,使 CLS 具有写对象存储的权限,即为服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限
COS 接口权限:GetService
(或预设策略:QcloudCOSReadOnlyAccess)
协作者或子账号可以获取对象存储的存储桶列表的权限 控制台配置投递至对象存储任务的过程中,需要拉取 对象存储的存储桶列表,然后选择投递的目标存储桶

主账号授权步骤

  1. 主账号登录 CAM 访问管理控制台,左侧选择【用户】>【用户列表】进入到目标用户的详情页。

  2. 在详情页中单击【关联策略】,选择【从策略列表中选取策略关联】。

  3. 为协作者或子账号关联预设策略:QcloudCLSFullAccess、QcloudCamSubaccountsAuthorizeRoleFullAccess、QcloudCOSReadOnlyAccess。

协作者或子账号配置投递任务

注意:

主账号必须完成授权操作,否则协作者或子账号无法正常进行投递配置。

  1. 协作者或子账号登录控制台:协作者或子账号配置投递任务

    协作者或子账号在日志服务控制台上进行投递任务配置时,需要主账号授权必要的权限,否则无法顺利进行投递配置。协作者或子账号在配置投递任务时,会依赖以下权限:

权限名称 描述说明 应用场景
CLS 预设策略:QcloudCLSFullAccess 协作者或子账号可以操作日志服务的权限 协作者或子账号需要此权限才能操作日志服务进行投递任务的配置
CAM 预设策略:QcloudCamSubaccountsAuthorizeRoleFullAccess 协作者或子账号可以授权服务角色的权限 日志投递至对象存储或 Ckafka 时,需要协作者或子账号确认角色授权,使 CLS 具有写对象存储的权限,即为服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限
COS 接口权限:GetService
(或预设策略:QcloudCOSReadOnlyAccess)
协作者或子账号可以获取 对象存储的存储桶列表的权限 控制台配置投递至对象存储任务的过程中,需要拉取 对象存储的存储桶列表,然后选择投递的目标存储桶

主账号授权步骤

  1. 主账号登录CAM 访问管理控制台,左侧选择【用户】>【用户列表】进入到目标用户的详情页。

  2. 在详情页中单击【关联策略】,选择【从策略列表中选取策略关联】。

  3. 为协作者或子账号关联预设策略:QcloudCLSFullAccess、QcloudCamSubaccountsAuthorizeRoleFullAccess、QcloudCOSReadOnlyAccess。

协作者或子账号配置投递任务

注意:

主账号必须完成授权操作,否则协作者或子账号无法正常进行投递配置。

  1. 协作者或子账号登录日志服务控制台,进入日志主题详情页。

  2. 在投递至对象存储页面进行投递配置时,会弹出为服务角色授权的提示,单击【前往访问管理】。

  3. 单击【同意授权】后,继续完成投递任务配置即可。

API:配置投递任务

若通过 API 方式配置投递任务,需要提前为日志服务的服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限。

授权步骤

  1. 登录 CAM 访问管理控制台,左侧选择【角色】。

  2. 单击【新建角色】,选择【腾讯云产品服务】作为角色载体,载体选择【日志服务】。

  3. 对角色进行策略关联,投递至对象存储需关联 QcloudCOSAccessForCLSRole。

API 配置投递任务

注意:

必须先完成角色授权,否则 CLS 无法正常投递日志。

  1. 登录日志服务控制台,进入日志主题详情页。

  2. 在投递至对象存储页面进行投递配置时,会弹出为服务角色授权的提示,单击【前往访问管理】。

  3. 单击【同意授权】后,继续完成投递任务配置即可。

API:配置投递任务

若通过 API 方式配置投递任务,需要提前为日志服务的服务角色 CLS_QcsRole 授权 QcloudCOSAccessForCLSRole 策略权限。

授权步骤

  1. 登录CAM 访问管理控制台,左侧选择【角色】。

  2. 单击【新建角色】,选择【产品服务】作为角色载体,载体选择【日志服务】。

  3. 对角色进行策略关联,投递至对象存储需关联 QcloudCOSAccessForCLSRole。

API 配置投递任务

注意:

必须先完成角色授权,否则 CLS 无法正常投递日志。

根据投递COS任务相关的接口文档配置投递参数即可。