策略授权参考
本章节介绍LTS策略授权场景下支持的策略授权项。
支持的授权项
策略包含系统策略和自定义策略,如果系统策略不满足授权要求,管理员可以创建自定义策略,并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应,授权项列表说明如下:
- 权限:允许或拒绝某项操作。对应API接口:自定义策略实际调用的API接口。
- 授权项:自定义策略中支持的Action,在自定义策略中的Action中写入授权项,可以实现授权项对应的权限功能。
- 依赖的授权项:部分Action存在对其他Action的依赖,需要将依赖的Action同时写入授权项,才能实现对应的权限功能。
- IAM项目(Project)/企业项目(Enterprise Project):自定义策略的授权范围,包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目,表示此授权项对应的自定义策略,可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目,不支持企业项目,表示仅能在IAM中给用户组授权并生效,如果在企业管理中授权,则该自定义策略不生效。管理员可以在授权项列表中查看授权项是否支持IAM项目或企业项目,“√”表示支持,“×”表示暂不支持。关于IAM项目与企业项目的区别,详情请参见:IAM与企业管理的区别。
LTS的支持自定义策略授权项如下所示:
|
权限 |
对应API接口 |
授权项(Action) |
依赖的授权项 |
IAM项目(Project) |
企业项目(Enterprise Project) |
|---|---|---|---|---|---|
|
创建日志组 |
POST /v2/{project_id}/groups |
lts:groups:create |
- |
√ |
x |
|
查询账号下所有日志组 |
GET /v2/{project_id}/groups |
lts:groups:list |
- |
√ |
x |
|
修改日志组 |
POST /v2/{project_id}/groups/{log_group_id} |
lts:groups:put |
- |
√ |
x |
|
删除日志组 |
DELETE /v2/{project_id}/groups/{log_group_id} |
lts:groups:delete |
- |
√ |
x |
|
创建日志流 |
POST /v2/{project_id}/groups/{log_group_id}/streams |
lts:topics:create |
- |
√ |
√ |
|
查询指定日志组下的所有日志流 |
GET /v2/{project_id}/groups/{log_group_id}/streams |
lts:topics:list |
- |
√ |
√ |
|
删除日志流 |
DELETE /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id} |
lts:topics:delete |
- |
√ |
√ |
|
查询日志 |
POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/content/query |
lts:logs:list |
- |
√ |
x |
|
查询结构化日志 |
POST /v2/{project_id}/groups/{log_group_id}/streams/{log_stream_id}/struct-content/query |
lts:logs:list |
- |
√ |
x |
|
OBS转储 |
POST /v2/{project_id}/log-dump/obs |
lts:transfers:create |
obs:bucket:CreateBucket obs:bucket:HeadBucket obs:bucket:GetLifecycleConfiguration obs:bucket:PutLifecycleConfiguration obs:bucket:GetBucketAcl obs:bucket:PutBucketAcl |
√ |
x |
|
关闭超额采集开关 |
POST /v2/{project_id}/collection/disable |
aom:quota:set |
- |
√ |
x |
|
打开超额采集开关 |
POST /v2/{project_id}/collection/enable |
aom:quota:set |
- |
√ |
x |
