本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Amazon X-Ray 如何与 IAM 协同工作
在使用 IAM 管理对 X-Ray 的访问权限之前,您应该了解哪些 IAM 功能可用于 X-Ray。要大致了解 X-Ray 和其他Amazon服务如何与 IAM 一起使用,请参阅 IAM 用户指南中的与 IAM 一起使用的Amazon服务。
您可以使用Amazon Identity and Access Management (IAM) 向您的账户中的用户和计算资源授予 X-Ray 权限。无论您的用户使用哪个客户端(控制台、Amazon SDKAmazon CLI),IAM 都会在 API 级别控制 X-Ray 服务的访问权限,以统一强制执行权限。
要使用 X-Ray 控制台查看服务地图和区段,您只需要读取权限。要启用控制台访问,请向您的 IAM 用户添加 AWSXrayReadOnlyAccess 托管策略。
对于本地开发和测试,创建具有读写权限的 IAM 角色。代入该角色并为该角色存储临时证书。您可以将这些凭证与 X-Ray 守护程序Amazon CLI、和Amazon SDK 一起使用。有关更多信息,请参阅在中Amazon CLI使用临时安全证书。
要将已分析应用程序部署到 Amazon,请创建一个具有写入权限的 IAM 角色,并将它分配给运行您的应用程序的资源。AWSXRayDaemonWriteAccess 包含上传跟踪的权限、一些读取权限以及支持使用采样规则的权限。
读取和写入策略不包括配置加密密钥设置和采样规则的权限。用于AWSXrayFullAccess访问这些设置,或在自定义策略中添加配置 API。要使用您创建的客户托管密钥进行加密和解密,您还需要使用该密钥的权限。
X-Ray 基于身份的策略
通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。X-Ray 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅 IAM 用户指南 中的 IAM JSON 策略元素参考。
操作
管理员可以使用 Amazon JSON 策略来指定谁有权访问什么内容。也就是说,哪个主体 可以对什么资源 执行操作,以及在什么 条件 下执行。
JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 Amazon API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作。
在策略中包含操作以授予执行相关操作的权限。
X-Ray 中的策略操作在操作前面使用以下前缀:xray:。例如,要授予某人使用 X-RayGetGroup API 操作检索群组资源详细信息的权限,您应将xray:GetGroup操作纳入其策略中。策略语句必须包含 Action 或 NotAction 元素。X-Ray 定义了一组自己的操作,以描述您可以使用该服务执行的任务。
要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:
"Action": [ "xray:action1", "xray:action2"
您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Get 开头的所有操作,包括以下操作:
"Action": "xray:Get*"
要查看 X-Ray 操作列表,请参阅 IAM 用户指南Amazon X-Ray中定义的操作。
资源
管理员可以使用 Amazon JSON 策略来指定谁有权访问什么内容。也就是说,哪个主体 可以对什么资源 执行操作,以及在什么条件 下执行。
Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 Resource 或 NotResource 元素。作为最佳实践,请使用其 Amazon 资源名称(ARN)指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。
对于不支持资源级权限的操作(如列出操作),请使用通配符(*)指示语句应用于所有资源。
"Resource": "*"
您可以使用 IAM 策略控制对资源的访问权限。对于支持资源级权限的操作,您可以使用 Amazon Resource Name (ARN) 标识策略应用到的资源。
所有 X-Ray 操作都可以在 IAM 策略中用于授予或拒绝用户使用该操作的权限。但是,并非所有 X-Ray 操作都支持资源级权限,这使您能够指定可以对哪些资源执行操作。
对于不支持资源级权限的操作,您必须将“*”作为资源。
以下 X-Ray 操作支持资源级权限:
-
CreateGroup -
GetGroup -
UpdateGroup -
DeleteGroup -
CreateSamplingRule -
UpdateSamplingRule -
DeleteSamplingRule
以下是基于身份的CreateGroup操作权限策略的示例。该示例显示了如何使用与群组名称相关的 ARN,local-users并将唯一 ID 用作通配符。唯一的 ID 是在创建群组时生成的,因此无法在策略中提前预测。使用GetGroupUpdateGroup、或时DeleteGroup,您可以将其定义为通配符或确切的 ARN,包括 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateGroup" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:group/local-users/*" ] } ] }
以下是基于身份的CreateSamplingRule操作权限策略的示例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateSamplingRule" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep" ] } ] }
注意
采样规则的 ARN 由其名称定义。与组 ARN 不同,采样规则没有唯一生成的 ID。
要查看 X-Ray 资源类型及其 ARN 的列表,请参阅 IAM 用户指南Amazon X-Ray中的定义的资源。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 Amazon X-Ray 定义的操作。
条件键
X-Ray 不提供任何服务特定的条件键,但支持使用某些全局条件键。要查看所有 Amazon 全局条件键,请参阅《IAM 用户指南》中的 Amazon 全局条件上下文键。
示例
要查看 X-Ray 基于身份的策略的示例,请参阅Amazon X-Ray 基于身份的策略示例。
基于 X-ray 资源的策略
X-Ray 支持基于资源的策略,用于当前和futureAmazon 服务集成,例如 Amazon SNS 主动跟踪。基于 X-Ray 资源的策略可以由其他Amazon控制台更新,也可以通过Amazon SDK 或 CLI 进行更新。例如,Amazon SNS 控制台尝试自动配置基于资源的策略,用于向 X-Ray 发送跟踪。以下策略文档提供了手动配置基于 X-Ray 资源的策略的示例。
例 基于 Amazon SNS 主动追踪的 X-Ray 资源策略示例
此示例策略文档指定了 Amazon SNS 向 X-Ray 发送跟踪数据所需的权限:
{ Version: "2012-10-17", Statement: [ { Sid: "SNSAccess", Effect: Allow, Principal: { Service: "sns.amazonaws.com", }, Action: [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], Resource: "*", Condition: { StringEquals: { "aws:SourceAccount":account-id}, StringLike: { "aws:SourceArn": "arn:$partition:sns:$region:$account-id:topic-name" } } } ] }
要使用此示例政策文档,请将partitionregionaccount-idtopic-name*。
基于 X-Ray 标签的授权
您可以将标签附加到 X-Ray 组或采样规则,也可以在请求中将标签传递给 X-Ray。要基于标签控制访问,您需要使用 xray:ResourceTag/、key-nameaws:RequestTag/ 或 key-nameaws:TagKeys 条件键在策略的条件元素中提供标签信息。有关标记 X-Ray 资源的更多信息,请参阅为 X-Ray 采样规则和组添加标签。
要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅根据标签管理对 X-Ray 组和采样规则的访问权限。
在本地运行您的应用程序
您的仪器化应用程序将跟踪数据发送到 X-Ray 守护程序。守护程序缓冲分段文档并批量上载到 X-Ray 服务。守护程序需要写入权限才能将跟踪数据和遥测数据上传到 X-Ray 服务。
在本地运行守护程序时,创建 IAM 角色,代入该角色并将临时证书存储在环境变量中,或者存储在您的用户文件夹.aws中命名的文件夹中命名的文件中。credentials有关更多信息,请参阅在中Amazon CLI使用临时安全证书。
例 ~/.aws/credentials
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={Amazon session token}如果您已经配置了用于Amazon SDK 或的证书Amazon CLI,则守护程序可以使用这些证书。如果有多个配置文件可用,则该守护程序使用默认配置文件。
在... 中运行您的应用程序Amazon
在上运行应用程序时Amazon,使用角色向运行守护程序的 Amazon EC2 实例或 Lambda 函数授予权限。
-
Amazon Elastic Compute Cloud (Amazon EC2) — 创建 IAM 角色并作为实例配置文件附加到 EC2 实例。
-
亚马逊Elastic Container Service (Amazon ECS) — 创建 IAM 角色并将其作为容器实例 IAM 角色附加到容器实例。
-
Amazon Elastic Beanstalk(Elastic Beanstalk) — Elastic Beanstalk 在其默认实例配置文件中包含 X-Ray 权限。您可以使用该默认实例配置文件,或在自定义实例配置文件中添加写入权限。
-
Amazon Lambda(Lambda) — 您函数的执行角色添加写入权限。
创建用于 X-Ray 的角色
-
打开 IAM 控制台
。 -
选择 Roles(角色)。
-
选择 Create New Role。
-
对于角色名称,键入
xray-application。选择 Next Step。 -
对于 Role Type,选择 Amazon EC2。
-
附加以下托管策略以授予您的应用程序访问Amazon服务的权限:
-
AWSXRayDaemonWriteAccess— 授予 X-Ray 守护程序上载跟踪数据的权限。
如果应用程序使用 Amazon 开发工具包访问其他服务,请添加向这些服务授予访问权限的策略。
-
-
选择 Next Step。
-
请选择 Create Role(创建角色)。
用户加密权限
默认情况下,X-Ray 会加密所有跟踪数据,您可以将其配置为使用您管理的密钥。如果您选择Amazon Key Management Service客户管理的密钥,则需要确保密钥的访问策略允许您向 X-Ray 授予使用该密钥进行加密的权限。您账户中的其他用户也需要访问密钥才能在 X-Ray 控制台中查看加密的跟踪数据。
对于客户托管的密钥,请使用允许执行以下操作的访问策略配置:
-
在 X-Ray 中配置密钥的用户有权呼叫
kms:CreateGrant和kms:DescribeKey。 -
可以访问加密跟踪数据的用户有权致电
kms:Decrypt。
当您在 IAM 控制台的密钥配置部分向密钥用户组添加用户时,他们有权执行这两项操作。只需要在密钥策略上设置Amazon KMS权限,因此您不需要对用户、群组或角色的任何权限。有关更多信息,请参阅Amazon KMS开发人员指南中的使用密钥策略。
对于默认加密,或者如果您选择Amazon托管 CMK (aws/xray),权限取决于谁有权访问 X-Ray API。包含在 AWSXrayFullAccess 中的具有对 PutEncryptionConfig 的访问权限的任何人都可以更改加密配置。要防止用户更改加密密钥,请勿向这些用户授予使用 PutEncryptionConfig 的权限。