权限说明
如果您需要对给企业中的员工设置不同的功能权限,您可以使用天翼云统一身份认证(Identity and Access Management,简称IAM)进行权限管理。该服务提供用户身份认证、权限分配、访问控制等功能,可帮助您进行权限管理。
通过天翼云统一身份认证IAM,您可以在天翼云主账号中给员工或其他使用者创建IAM用户,并通过权限策略来控制其在云日志服务中的功能权限。例如您希望某个子用户拥有日志查看权限,但是不希望该子用户拥有删除日志项目、日志单元等高危操作的权限,那么您可以创建IAM用户,授予仅能查看日志权限,但是不允许删除权限。
如果天翼云账号已经能满足您的使用需求,不需要创建独立的IAM用户进行权限管理,您可以跳过本章节,不影响您使用云日志服务的其它功能。
IAM是天翼云提供权限管理的基础服务,无需付费即可使用,您只需要为您账号中的资源进行付费。关于IAM的详细介绍,请参见IAM产品介绍。
云日志服务权限
在默认情况下,通过主账号新建的IAM用户没有任何权限,主账号需要将IAM用户加入用户组,并给用户组授予权限策略,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限在云日志服务进行操作。
策略是IAM提供的细粒度权限集合,可以精确到具体资源、条件等。使用基于策略的授权是一种灵活的授权方式,能够满足企业对权限最小化的安全管控要求。例如:针对弹性云主机服务,管理员能够控制IAM用户仅能对云主机的资源进行指定的管理操作。
下表包括了云日志服务的所有系统策略。
| 策略名称 | 描述 | 策略类别 |
|---|---|---|
| CTLTS admin | 云日志服务的所有权限,拥有该权限的用户可以操作并使用云日志服务。 | 系统策略 |
| CTLTS viewer | 云日志服务的只读权限,拥有该权限的用户仅能查看云日志服务数据。 | 系统策略 |
下表列出了常用操作与系统策略的授权关系,您可以参照该表选择合适的系统策略。
| 操作 | CTLTS admin | CTLTS viewer |
|---|---|---|
| 查询日志项目 | ✓ | ✓ |
| 创建日志项目 | ✓ | × |
| 修改日志项目 | ✓ | × |
| 删除日志项目 | ✓ | × |
| 查询日志单元 | ✓ | ✓ |
| 创建日志单元 | ✓ | × |
| 修改日志单元 | ✓ | × |
| 删除日志单元 | ✓ | × |
| 配置主机日志接入 | ✓ | × |
| 查询仪表盘 | ✓ | ✓ |
| 创建仪表盘 | ✓ | × |
| 修改仪表盘 | ✓ | × |
| 删除仪表盘 | ✓ | × |
| 查询告警规则 | ✓ | ✓ |
| 创建告警规则 | ✓ | × |
| 修改告警规则 | ✓ | × |
| 删除告警规则 | ✓ | × |
| 查看日志投递 | ✓ | ✓ |
| 添加日志投递 | ✓ | × |
| 修改日志投递 | ✓ | × |
| 删除日志投递 | ✓ | × |
