简介
日志服务(Cloud Log Service,CLS)具备 COS 投递功能,该功能可以实现操作同一账号的资源(不支持多个账户下的资源)。默认情况下,子账号没有权限使用投递配置功能,需要主账号为子账号添加授权,才能正常使用该功能。下面将为您详细介绍如何为子账号添加授权。
相关说明
假设主账号下拥有 CLS 资源 TopicA 和 COS 资源 BucketA(公有读写)、BucketB(公有读私有写)、BucketC(私有读写)。不同账号下,被允许的操作如下:
操作者 | 描述 | 是否支持 |
主账号 | 配置 TopicA 日志数据投递 BucketA(公有读写) | 是 |
主账号 | 配置 TopicA 日志数据投递 BucketB(公有读私有写) | 是 |
主账号 | 配置 TopicA 日志数据投递 BucketC(私有读写) | 是 |
子账号或协作者 | 配置 TopicA 日志数据投递 BucketA(公有读写) | 是 |
子账号或协作者 | 配置 TopicA 日志数据投递 BucketB(公有读私有写) | 是 |
子账号或协作者 | 配置 TopicA 日志数据投递 BucketC(私有读写) | 是 |
访问主账号 CLS 资源的权限:QcloudCLSFullAccess。
访问主账号 COS 存储桶列表的权限:QcloudCOSGetServiceAccess。
创建策略及绑定策略的权限:CreateRole、AttachRolePolicy。
操作步骤
创建策略
1. 登录 访问管理 控制台。
2. 在左侧导航中,单击策略。
3. 在策略界面中,单击新建自定义策略。
4. 创建策略方式选择按策略生成器创建,如下图所示。
5. 在弹窗界面中,配置如下选项:
服务(Service):选择访问管理。
操作(Action):勾选 CreateRole(创建角色)、AttachRolePolicy(绑定策略到角色)。
资源(Resource):填写
*
。
6. 单击添加声明,确认配置的权限无误后,单击下一步。
7. 策略名称可根据需要进行自定义修改,单击创建策略,完成创建。
关联策略
对相应的子账号(协作者)进行策略授权,需要添加 QcloudCLSFullAccess、QcloudCOSGetServiceAccess 以及刚才创建的策略。
1. 登录 访问管理 控制台。
2. 在左侧导航中,单击用户。
3. 在用户界面中,找到需要关联策略的子账号(协作者),在其右侧单击授权。
4. 在关联策略界面中,勾选对应策略 QcloudCLSFullAccess、QcloudCOSGetServiceAccess 以及刚才创建的策略 ,单击确认,完成策略关联。
5. 完成以上步骤后,即可使用子账号(协作者)添加投递配置功能。