如何 Amazon X-Ray 与 IAM 配合使用

在使用 IAM 管理对 X-Ray 的访问之前，您应了解哪些 IAM 功能可与 X-Ray 结合使用。要全面了解 X-Ray 和其他人如何 Amazon Web Services 使用 IAM Amazon Web Services ，请参阅 IAM 用户指南中的与 I AM 配合使用。

您可以使用 Amazon Identity and Access Management (IAM) 向账户中的用户和计算资源授予 X-Ray 权限。无论您的用户使用哪个客户端（控制台、 Amazon SDK Amazon CLI），IAM 都会在 API 级别控制对 X-Ray 服务的访问权限，以统一强制执行权限。

要使用 X-Ray 控制台查看轨迹地图和区段，您只需要读取权限即可。要启用控制台访问，请向您的 IAM 用户添加 AWSXrayReadOnlyAccess 托管策略。

要进行本地开发和测试，请创建一个具有读取和写入权限的 IAM 角色。担任该角色并存储该角色的临时凭证。您可以将这些凭据与 X-Ray 守护程序 Amazon CLI、和 Amazon SDK 一起使用。请参阅将 Amazon CLI与临时安全凭证一起使用，了解更多信息。

要将您的检测应用程序部署到 Amazon，请创建一个具有写入权限的 IAM 角色并将其分配给运行您的应用程序的资源。 AWSXRayDaemonWriteAccess包括上传跟踪的权限，以及一些支持使用采样规则的读取权限。

读写策略不包含配置加密密钥设置和采样规则的权限。使用 AWSXrayFullAccess 访问这些设置，或在自定义策略中添加配置 API。要使用您创建的客户托管密钥进行加密和解密，您还需要使用该密钥的权限。

X-Ray 基于身份的策略

通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。X-Ray 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》 中的 IAM JSON 策略元素参考。

操作

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说，哪个主体可以对什么资源执行操作，以及在什么条件下执行。

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 Amazon API 操作同名。有一些例外情况，例如没有匹配 API 操作的仅限权限操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作。

在策略中包含操作以授予执行关联操作的权限。

X-Ray 中的策略操作在操作前使用以下前缀：xray:。例如，要授予某人使用 X-Ray GetGroup API 操作标签组的权限，您应将xray:GetGroup操作纳入其策略中。策略语句必须包含 Action 或 NotAction 元素。X-Ray 定义了一组自己的操作，以描述您可以使用该服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

"Action": [
      "xray:action1",
      "xray:action2"

您也可以使用通配符 （*) 指定多个操作。例如，要指定以单词 Get 开头的所有操作，包括以下操作：

"Action": "xray:Get*"

要查看 X-Ray 操作列表，请参阅 IAM 用户指南中的Amazon X-Ray定义的操作。

资源

管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说，哪个主体可以对什么资源执行操作，以及在什么条件下执行。

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 Resource 或 NotResource 元素。作为最佳实操，请使用其 Amazon 资源名称 (ARN) 指定资源。对于支持特定资源类型（称为资源级权限）的操作，您可以执行此操作。

对于不支持资源级权限的操作（如列出操作），请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

您可以使用 IAM 策略控制对资源的访问。对于支持资源级权限的操作，您可以使用 Amazon 资源名称 (ARN) 标识策略适用的资源。

可以在 IAM 策略中使用所有 X-Ray 操作以授予或拒绝用户使用该操作的权限。但是，并非所有 X-Ray 操作都支持资源级权限（这使您能够指定可对其执行操作的资源）。

对于不支持资源级权限的操作，您必须将“*”作为资源。

以下 X-Ray 操作支持资源级权限：

下面是 CreateGroup 操作基于身份的权限策略的示例：此示例介绍了如何使用与包含唯一 ID 作为通配符的组名称 local-users 相关的 ARN。该唯一 ID 在组创建时生成，因此策略中无法前提预测。使用 GetGroup、UpdateGroup 或 DeleteGroup 时，可将此定义为通配符或确切的 ARN（包括 ID）。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateGroup"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
            ]
        }
    ]
}

下面是 CreateSamplingRule 操作基于身份的权限策略的示例：

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateSamplingRule"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
            ]
        }
    ]
}

要查看 X-Ray 资源类型及其 ARN 的列表，请参阅 IAM 用户指南中的 Amazon X-Ray定义的资源。要了解您可以在哪些操作中指定每个资源的 ARN，请参阅 Amazon X-Ray定义的操作。

条件键

X-Ray 不提供任何特定于服务的条件键，但支持使用某些全局条件键。要查看所有 Amazon 全局条件键，请参阅 IAM 用户指南中的Amazon 全局条件上下文密钥。

示例

要查看 X-Ray 基于身份的策略的示例，请参阅 Amazon X-Ray 基于身份的策略示例。

X-Ray 基于资源的策略

X-Ray 支持基于资源的策略，用于当前和未来的 Amazon Web Service 集成，例如 Amazon SNS 主动跟踪。基于 X-Ray 资源的策略可以由其他 Amazon Web Services Management Console人更新，也可以通过 Amazon SDK 或 CLI 进行更新。例如，Amazon SNS 控制台会尝试自动配置基于资源的策略，将跟踪发送给 X-Ray。以下策略文档提供手动配置 X-Ray 基于资源的策略的示例。

{
    Version: "2012-10-17",
    Statement: [
      {
        Sid: "SNSAccess",
        Effect: Allow,
        Principal: {
          Service: "sns.amazonaws.com",
        },
        Action: [
          "xray:PutTraceSegments",
          "xray:GetSamplingRules",
          "xray:GetSamplingTargets"
        ],
        Resource: "*",
        Condition: {
          StringEquals: {
            "aws:SourceAccount": "account-id"
          },
          StringLike: {
            "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
          }
        }
      }
    ]
  }

aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'

基于 X-Ray 标签的授权

您可以将标签附加到 X-Ray 组或采样规则，或在发给 X-Ray 请求中传递标签。要基于标签控制访问，需要使用 xray:ResourceTag/key-name、aws:RequestTag/key-name 或 aws:TagKeys 条件密钥在策略的条件元素中提供标签信息。有关标记 X-Ray 资源的更多信息，请参阅标记 X-Ray 采样规则和组。

要查看基于身份的策略（用于根据资源上的标签来限制对该资源的访问）的示例，请参阅根据标签管理对 X-Ray 组和采样规则的访问权限。

本地运行您的应用程序

您的已检测应用程序将跟踪数据发送到 X-Ray 进程守护程序。进程守护程序缓存分段文档，并分批将它们上传到 X-Ray 服务。进程守护程序需要写入权限以将跟踪数据和遥测数据上传到 X-Ray 服务。

当在本地运行进程守护程序时，创建一个 IAM 角色，担任该角色并将临时凭证存储在环境变量中，或用户文件夹中名为 .aws 的文件夹中名为 credentials 的文件中。请参阅将 Amazon CLI与临时安全凭证一起使用，了解更多信息。

[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={Amazon session token}

如果您已经配置了用于 Amazon SDK 或的凭证 Amazon CLI，则守护程序可以使用这些凭据。如果有多个配置文件可用，则该进程守护程序使用默认配置文件。

在中运行您的应用程序 Amazon

当您在上运行应用程序时 Amazon，使用角色向运行守护程序的 Amazon EC2 实例或 Lambda 函数授予权限。

用户加密权限

默认情况下，X-Ray 将加密所有跟踪数据，您可以将它配置为使用您管理的密钥。如果您选择 Amazon Key Management Service 客户管理的密钥，则需要确保该密钥的访问策略允许您向 X-Ray 授予使用它进行加密的权限。您账户中的其他用户还需要访问该密钥来查看在 X-Ray 控制台中加密的跟踪数据。

对于客户托管密钥，请使用允许以下操作的访问策略配置您的密钥：

当您在 IAM 控制台的密钥配置部分中为密钥用户组添加一名用户时，他们同时拥有这两项操作的权限。只需在密钥策略上设置权限，因此您不需要对用户、群组或角色 Amazon KMS 拥有任何权限。有关更多信息，请参阅《 Amazon KMS 开发人员指南》中的使用密钥策略。

对于默认加密，或者如果您选择 Amazon 托管 CMK (aws/xray)，则权限取决于谁有权访问 X-Ray API。包含在 AWSXrayFullAccess 中的具有对 PutEncryptionConfig 的访问权限的任何人都可以更改加密配置。要防止用户更改加密密钥，请勿向这些用户授予使用 PutEncryptionConfig 的权限。