CAM 访问授权

最近更新时间:2019-06-21 16:22:24

简介

访问管理(Cloud Access Management,CAM)是腾讯云提供的 Web 服务,主要用于帮助用户安全管理腾讯云账户下资源的访问权限。用户可以通过 CAM 创建、管理和销毁用户(组),并使用身份管理和策略管理控制其他用户使用腾讯云资源的权限,CAM 策略的详细信息及使用请参见 CAM 策略 文档。

主账号可以授权子账号或协作者访问管理权限,访问指定的日志服务资源,资源详情请参见 操作列表资源列表 文档。

注意:

  • 为保证使用安全,建议将授权的权限控制在需求范围内的最小权限。
  • list 类型的操作,表示可以查看所有资源,暂不支持仅查看一部分资源。例如,当具备 listTopic 权限时,可以查看当前日志集下所有日志主题列表,不支持列表里只显示部分日志主题。反之,当不具备 listTopic 权限时,无法查看任何日志主题。

操作示例

控制台场景:日志服务所有权限

场景说明:主账号(UIN 为123456789)授权子账号或协作者可在 日志服务控制台 访问和操作日志服务。

CAM 授权策略如下:

{
    "version": "2.0",
    "statement": [
        {
            "action": [
                "cls:*"
            ],
            "resource": "*",
            "effect": "allow"
        }
    ]
}

控制台场景:日志集和日志主题的只读权限

场景说明:主账号(UIN 为123456789)授权子账号或协作者可在 日志服务控制台 进行以下操作:

  • 子账号或协作者可以查看主账号的日志集列表。
  • 子账号或协作者可以查看上海日志集(abcd0000-abcd-abcd-abcd-abcd11110000)的基本信息和所属日志主题列表。
  • 子账号或协作者可以查看当前日志集下日志主题(123e4567-e89b-12d3-a456-426655440000)的基本信息,包括采集配置信息、索引配置信息、投递配置信息和投递任务列表。

CAM 授权策略如下:

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cls:listLogset"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:logset/*"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cls:list*",
                "cls:get*"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:logset/abcd0000-abcd-abcd-abcd-abcd11110000",
                "qcs::cls:ap-shanghai:uin/123456789:topic/123e4567-e89b-12d3-a456-426655440000"
            ]
        }
    ]
}

控制台场景:机器组的只读权限

场景说明:主账号(UIN 为123456789)授权子账号或协作者可在 日志服务控制台 进行以下操作:

  • 子账号或协作者可以查看主账号的机器组列表。
  • 子账号或协作者可以查看上海所有机器组的信息,包括机器列表和活跃状态。

CAM 授权策略如下:

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cls:listMachineGroup",
                "cls:getMachineGroup",
                "cls:getMachineStatus"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:machinegroup/*"
            ]
        }
    ]
}

控制台场景:日志主题检索权限

场景说明:主账号(UIN 为123456789)授权子账号或协作者可在 日志服务控制台 对主账号上海地域的日志集(abcd0000-abcd-abcd-abcd-abcd11110000)下的日志主题(123e4567-e89b-12d3-a456-426655440000)进行检索。

CAM 授权策略如下:

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cls:listLogset"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:logset/*"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cls:listTopic"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:logset/abcd0000-abcd-abcd-abcd-abcd11110000"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cls:searchLog"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:logset/abcd0000-abcd-abcd-abcd-abcd11110000",
                "qcs::cls:ap-shanghai:uin/123456789:topic/123e4567-e89b-12d3-a456-426655440000"
            ]
        }
    ]
}

控制台场景:日志主题投递任务执行详情查询权限

场景说明:主账号(UIN 为123456789)授权子账号或协作者可在 日志服务控制台 对主账号日志集(abcd0000-abcd-abcd-abcd-abcd11110000)下日志主题(123e4567-e89b-12d3-a456-426655440000)的投递任务(1234abcd-0000-0000-0000-1234abcd0000)进行查看。

CAM 授权策略如下:

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cls:listLogset"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:logset/*"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cls:listTopic"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:logset/abcd0000-abcd-abcd-abcd-abcd11110000"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cls:listShipper"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:topic/123e4567-e89b-12d3-a456-426655440000"
            ]
        },
        {
            "effect": "allow",
            "action": [
                "cls:listShipperTask"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:shipper/1234abcd-0000-0000-0000-1234abcd0000"
            ]
        }
    ]
}

API 场景:日志主题的写入和下载权限

场景说明:主账号(UIN 为123456789)授权子账号或协作者可使用 API 接口进行以下操作:

  • 子账号或协作者可以往主账号的日志主题(123e4567-e89b-12d3-a456-426655440000)里写数据。
  • 子账号或协作者可以下载主账号的日志主题(123e4567-e89b-12d3-a456-426655440000)数据。

CAM 授权策略如下:

{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cls:getCursor",
                "cls:downloadLog",
                "cls:pushLog"
            ],
            "resource": [
                "qcs::cls:ap-shanghai:uin/123456789:topic/123e4567-e89b-12d3-a456-426655440000"
            ]
        }
    ]
}