日志服务提供授权策略、STS临时授权等功能,实现存储资源的访问控制和管理。

基于用户的授权策略RAM Policy

RAM(Resource Access Management)是阿里云提供的资源访问控制服务,RAM Policy是基于用户的授权策略。通过设置RAM Policy,您可以集中管理您的用户(例如员工、系统或应用程序),以及控制用户可以访问您名下哪些资源的权限,例如限制您的用户只拥有对某个Project或Logstore中的某些对象的读权限。

RAM Policy为JSON格式,您可以通过其中的Statement描述授权语义,每条语义包含对Action、Effect、Resource和Condition的描述。您可以根据业务场景设置多条语义,实现灵活的授权策略。

更多信息,请参见访问控制RAM

STS临时授权

相对于RAM提供的长效控制机制,STS(Security Token Service)提供的是一种临时访问授权。通过STS可以返回临时的AccessKey和Token,这些信息可以直接发给临时用户用来访问日志服务。一般来说,从STS获取的权限会受到更加严格的限制,并且拥有时间限制,因此这些信息泄露之后对于系统的影响也很小。

日志服务可以通过阿里云STS进行临时授权访问。通过STS,您可以为第三方应用或子用户(即用户身份由您自己管理的用户)颁发一个自定义时效和权限的访问凭证。

更多信息,请参见通过STS实现跨账号访问日志服务资源