子账号配置投递

最近更新时间: 2024-10-17 17:10:00

简介

日志服务 CLS 具备对象存储投递功能,该功能可以实现操作同一账号的资源(不支持多个账户下的资源)。默认情况下,子账号没有权限使用投递配置功能,需要主账号为子账号添加授权,才能正常使用该功能。下面将为您详细介绍如何为子账号添加授权。

相关说明

假设主账号下拥有 CLS 资源 TopicA 和对象存储资源 BucketA(公有读写)、BucketB(公有读私有写)、BucketC(私有读写)。不同账号下,被允许的操作如下:

操作者 描述 是否支持
主账号 配置 TopicA 日志数据投递 BucketA(公有读写)
主账号 配置 TopicA 日志数据投递 BucketB(公有读私有写)
主账号 配置 TopicA 日志数据投递 BucketC(私有读写)
子账号或协作者 配置 TopicA 日志数据投递 BucketA(公有读写)
子账号或协作者 配置 TopicA 日志数据投递 BucketB(公有读私有写)
子账号或协作者 配置 TopicA 日志数据投递 BucketC(私有读写)

子账号(或协作者)在配置日志投递前,需要确保主账号已在 CAM 管理控制台 上为子账号配置了以下相关的权限策略:

  • 访问主账号 CLS 资源的权限:QcloudCLSFullAccess。

  • 访问主账号对象存储的存储桶列表的权限:QcloudCOSGetServiceAccess。

  • 创建策略及绑定策略的权限:CreateRole、AttachRolePolicy。

操作步骤

创建策略

  1. 登录访问管理控制台。

  2. 在左侧导航中,单击【策略】。

  3. 在策略界面中,单击【新建自定义策略】。

  4. 创建策略方式选择【按策略生成器创建】,如下图所示。

  5. 在弹窗界面中,配置如下选项:

    • 服务(Service):选择【访问管理】。

    • 操作(Action):勾选 CreateRole(创建角色)、AttachRolePolicy(绑定策略到角色)。

    • 资源(Resource):填写*

  6. 单击【添加声明】,确认配置的权限无误后,单击【下一步】。

  7. 策略名称可根据需要进行自定义修改,单击【创建策略】,完成创建。

关联策略

对相应的子账号(协作者)进行策略授权,需要添加 QcloudCLSFullAccess、QcloudCOSGetServiceAccess 以及刚才创建的策略。

  1. 登录访问管理控制台。

  2. 在左侧导航中,单击【用户】。

  3. 在用户界面中,找到需要关联策略的子账号(协作者),在其右侧单击【授权】。

  4. 在关联策略界面中,勾选对应策略 QcloudCLSFullAccessQcloudCOSGetServiceAccess 以及刚才创建的策略 ,单击【确认】,完成策略关联。

  5. 完成以上步骤后,即可使用子账号(协作者)添加投递配置功能。