动态与公告

产品动态

公告

新手指引

产品简介

产品概述

产品优势

地域和访问域名

规格与限制

基本概念

购买指南

计费概述

产品定价

按量计费（后付费）

欠费说明

清理日志服务资源

成本优化

常见问题

快速入门

一分钟入门指南

入门指南

使用 Demo 日志快速体验 CLS

操作指南

资源管理

权限管理

日志采集

指标采集

日志存储

指标存储

检索分析（日志主题）

检索分析（指标主题）

仪表盘

数据处理

投递与消费

监控告警

云产品中心

DataSight 独立控制台

历史文档

实践教程

日志采集

检索分析

仪表盘

监控告警

投递和消费

成本优化

开发者指南

通过 iframe 内嵌 CLS（旧方案）

通过 Grafana 使用 CLS

API 文档

History

Introduction

API Category

Making API Requests

Topic Management APIs

Log Set Management APIs

Index APIs

Topic Partition APIs

Machine Group APIs

Collection Configuration APIs

Log APIs

Metric APIs

Alarm Policy APIs

Data Processing APIs

Kafka Protocol Consumption APIs

CKafka Shipping Task APIs

Kafka Data Subscription APIs

COS Shipping Task APIs

SCF Delivery Task APIs

Scheduled SQL Analysis APIs

COS Data Import Task APIs

Data Types

Error Codes

常见问题

健康监测问题解释

采集相关

检索分析相关

其他问题

服务等级协议

CLS 政策

隐私协议

数据处理和安全协议

联系我们

词汇表

可授权的资源类型

PDF

聚焦模式

字号

最后更新时间： 2024-12-03 14:58:18

简介
日志服务（Cloud Log Service，CLS）包含多种资源类型，部分接口支持按资源为用户配置权限，例如 对指定日志主题具备管理权限。
在访问管理（Cloud Access Management，CAM）中可授权的资源类型如下表，其中“按标签授权”是指该类型资源是否支持通过标签的方式指定用户具备操作权限的资源范围。
资源类型
授权策略中的资源描述方法
按标签授权
日志集
qcs::cls:$region:$account:logset/*
qcs::cls:$region:$account:logset/$logsetId
支持
日志主题
qcs::cls:$region:$account:topic/*
qcs::cls:$region:$account:topic/$topicId
支持
机器组
qcs::cvm:$region:$account:machinegroup/*
qcs::cvm:$region:$account:machinegroup/$machinegroupId
支持
采集配置
qcs::cls:$region:$account:config/*
qcs::cls:$region:$account:config/$configId
不支持
仪表盘
qcs::cls:$region:$account:dashboard/*
qcs::cls:$region:$account:dashboard/$dashboardId
支持
告警策略
qcs::cls:$region:$account:alarm/*
qcs::cls:$region:$account:alarm/$alarmId
不支持
通知渠道组
qcs::cls:$region:$account:alarmNotice/*
qcs::cls:$region:$account:alarmNotice/$alarmNoticeId
不支持
数据加工任务
qcs::cls:$region:uin/$account:datatransform/*
qcs::cls:$region:uin/$account:datatransform/$TaskId
不支持
投递任务（COS）
qcs::cls:$region:$account:shipper/*
qcs::cls:$region:$account:shipper/$shipperId
不支持
其他资源类型（已废弃，仅老版本 API 使用）
仪表盘内的单个图表：
qcs::cls:$region:$account:chart/*
qcs::cls:$region:$account:chart/$chartId
不支持
其中，$region、$account等变量参数需修改为您实际的参数信息。
日志服务支持的所有接口及其对应的资源描述方法，请参见 CAM 的数据处理与分析> 日志服务。其中，“授权粒度”为“资源级”的接口支持以上述资源类型按资源方式为用户配置权限，“授权粒度”为“接口级”的接口在 CAM 权限策略中对应的资源范围必须为*。
实践建议
由于日志服务中不同类型的资源之间具备关联关系，例如日志集包含日志主题，日志主题需应用采集配置至机器组；如果直接按照资源 ID 的方式在 CAM 权限策略中为用户配置权限存在较大的管理难度，容易导致用户在部分接口下出现无权限错误。因此，建议按照如下方式配置CAM权限策略：
针对支持按标签授权的资源类型及对应接口，为相关的资源绑定标签，然后通过标签的方式指定用户具备操作权限的资源范围。例如同时为日志主题、日志集及相关的仪表盘绑定标签，然后 对指定标签的日志主题赋予管理权限，对指定标签的日志主题及仪表盘赋予管理权限。这两条策略可以使用户同时具备这三类资源相关接口的操作权限。
针对不支持按标签授权的资源类型及对应接口，为简化管理，可直接以*作为 CAM 权限策略中的资源范围，即所有资源。为避免普通用户误操作，可针对普通用户配置只读权限，针对管理用户配置管理权限，例如 管理权限：对所有数据加工任务具备管理权限 和 只读权限：对所有数据加工任务具备只读权限。
说明：
更多使用场景，请参考 自定义权限策略示例。

帮助和支持

本页内容是否解决了您的问题？

您也可以联系销售或提交工单以寻求帮助。

填写满意度调查问卷，共创更好文档体验。

文档反馈

资源类型	授权策略中的资源描述方法	按标签授权
日志集	`qcs::cls:$region:$account:logset/*` `qcs::cls:$region:$account:logset/$logsetId`	支持
日志主题	`qcs::cls:$region:$account:topic/*` `qcs::cls:$region:$account:topic/$topicId`	支持
机器组	`qcs::cvm:$region:$account:machinegroup/*` `qcs::cvm:$region:$account:machinegroup/$machinegroupId`	支持
采集配置	`qcs::cls:$region:$account:config/*` `qcs::cls:$region:$account:config/$configId`	不支持
仪表盘	`qcs::cls:$region:$account:dashboard/*` `qcs::cls:$region:$account:dashboard/$dashboardId`	支持
告警策略	`qcs::cls:$region:$account:alarm/*` `qcs::cls:$region:$account:alarm/$alarmId`	不支持
通知渠道组	`qcs::cls:$region:$account:alarmNotice/*` `qcs::cls:$region:$account:alarmNotice/$alarmNoticeId`	不支持
数据加工任务	`qcs::cls:$region:uin/$account:datatransform/*` `qcs::cls:$region:uin/$account:datatransform/$TaskId`	不支持
投递任务（COS）	`qcs::cls:$region:$account:shipper/*` `qcs::cls:$region:$account:shipper/$shipperId`	不支持
其他资源类型（已废弃，仅老版本 API 使用）	仪表盘内的单个图表： `qcs::cls:$region:$account:chart/*` `qcs::cls:$region:$account:chart/$chartId`	不支持

tencent cloud

日志服务

可授权的资源类型

简介

实践建议

帮助和支持