如何 AWS X-Ray 与 IAM - AWS X-Ray
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

如何 AWS X-Ray 与 IAM

使用前 IAM 管理访问 X-Ray,您应该了解 IAM 功能可用于 X-Ray. 以获得如何 X-Ray 其他 AWS 服务与IAM合作,请参阅 AWS 合作的服务 IAMIAM 用户指南.

您可以使用 AWS Identity and Access Management (IAM)授予 X-Ray 对帐户中用户和计算资源的权限。 IAM 控制对 X-Ray API级别的服务可以统一执行权限,无论哪个客户端(控制台、AWSSDK、 AWS CLI)您的用户使用。

使用 X-Ray 控制台 要查看服务地图和分段,您只需要读取权限。要启用控制台访问,请添加 AWSXrayReadOnlyAccess 管理政策 您的iam用户。

对于 本地开发和测试,创建具有读写权限的iam用户。为用户生成访问密钥,并将其存储在StandardAWSSDK位置。您可以使用 X-Ray 守护程序, AWS CLI和AWSSDK。

将仪表应用部署到 AWS,创建具有写权限的IAM角色,并将其分配给运行应用程序的资源。AWSXRayDaemonWriteAccess 包括上传跟踪的权限,以及一些读取权限,以及支持 采样规则.

读写策略不包括配置权限 加密密钥设置 和采样规则。使用 AWSXrayFullAccess 要访问这些设置,或添加 配置API 在自定义策略中。对于您创建的客户管理密钥加密和解密,您还需要 使用密钥的权限.

X-Ray 基于身份的策略

带有 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源,以及允许或拒绝操作的条件。 X-Ray 支持具体的操作、资源和条件密钥。要了解您在JSON政策中使用的所有元素,请参阅 IAM JSON政策元素参考IAM 用户指南.

Actions

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal can perform actions on what resources, and under what conditions.

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行相关操作的权限。

策略操作 X-Ray 操作前使用以下前缀: xray:...例如,要授予某人获取组资源详细信息的权限,请与 X-Ray GetGroup API操作,您包括 xray:GetGroup 其政策中的操作。政策声明必须包括 ActionNotAction 元素。 X-Ray 定义了描述您可以使用此服务执行的任务的各种操作。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [ "xray:action1", "xray:action2"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Get 开头的所有操作,请包括以下操作:

"Action": "xray:Get*"

查看列表 X-Ray 操作,请参阅 AWS X-Ray 定义的操作IAM 用户指南.

Resources

Administrators can use AWS JSON policies to specify who has access to what. That is, which principal can perform actions on what resources, and under what conditions.

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。作为最佳做法,请使用其 Amazon 资源名称 (ARN) 指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

您可以使用 IAM 策略控制对资源的访问。对于支持资源级别权限的操作,您使用Amazon资源名称(ARN)来标识策略应用的资源。

全部 X-Ray 操作可以用于 IAM 授予或拒绝用户使用该操作权限的策略。但是,并非全部 X-Ray 操作 支持资源级别权限,使您能够指定执行操作的资源。

对于不支持资源级权限的操作,您必须将“*”作为资源。

以下内容 X-Ray 操作支持资源级别权限:

  • CreateGroup

  • GetGroup

  • UpdateGroup

  • DeleteGroup

  • CreateSamplingRule

  • UpdateSamplingRule

  • DeleteSamplingRule

以下是基于身份的权限策略的示例 CreateGroup 操作。示例显示了与组名称相关的ARN local-users 唯一ID为通配符。创建组时会生成唯一ID,因此提前保单中不能预测该唯一ID。使用 GetGroupUpdateGroup,或 DeleteGroup,您可以将其定义为通配符或确切ARN,包括ID。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateGroup" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:group/local-users/*" ] } ] }

以下是基于身份的权限策略的示例 CreateSamplingRule 操作。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateSamplingRule" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep" ] } ] }
注意

取样规则的ARN以其名称定义。与组 ARN 不同,采样规则没有唯一生成的 ID。

查看列表 X-Ray 资源类型和其ARNS,请参见 AWS X-Ray 定义的资源IAM 用户指南. 要了解您可以使用哪些操作指定每个资源的 ARN,请参阅 AWS X-Ray 定义的操作.

条件键

X-Ray 不提供任何特定于服务的条件键,但支持使用某些全局条件键。查看全部 AWS 全局条件键,请参阅 AWS 全局条件上下文关键字IAM 用户指南.

Examples

要查看 X-Ray 基于身份的策略的示例,请参阅。AWS X-Ray 基于身份的策略示例.

X-Ray 基于资源的策略

X-Ray 不支持基于资源的策略,但它支持资源级策略。

基于 X-Ray 标签的授权

您可以将标签附加到 X-Ray 组或采样规则或者请求中的通过标签 X-Ray. 要控制基于标签的访问,您可以在 条件元素 使用 xray:ResourceTag/key-nameaws:RequestTag/key-name,或 aws:TagKeys 条件键。有关标记 X-Ray 资源的更多信息,请参阅。标记 X-Ray 采样规则和组.

要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅管理访问 X-Ray 基于标签的组和采样规则.

本地运行应用程序

您的已分析应用程序将跟踪数据发送到 X-Ray 守护程序。守护程序缓存分段文档,并分批将它们上传到 X-Ray 服务。守护程序需要写入权限以将跟踪数据和遥测数据上传到 X-Ray 服务。

当您 本地运行守护程序,将您的iam用户的访问密钥和密钥存储在名为 credentials 在名为 .aws 在您的用户文件夹中。

例 ~/.aws/credentials 中的配置文件:

[default] aws_access_key_id=AKIAIOSFODNN7EXAMPLE aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY

如果您已经配置凭证以用于 AWS 开发工具包或 AWS CLI,则该守护程序可以使用这些凭证。如果有多个配置文件可用,则该守护程序使用默认配置文件。

在AWS中运行应用程序

当您运行应用程序时 AWS,使用角色授予 Amazon EC2 实例或 Lambda 运行守护程序的函数。

  • Amazon Elastic Compute Cloud (Amazon EC2) – 创建IAM角色,并将其附加到EC2实例中 实例配置文件.

  • Amazon Elastic Container Service (Amazon ECS) – 创建IAM角色,并将其附加到container实例中 集装箱实例IAM角色.

  • AWS Elastic Beanstalk (Elastic Beanstalk) – Elastic Beanstalk 包括 X-Ray 权限 默认实例配置文件. 您可以使用该默认实例配置文件,或在自定义实例配置文件中添加写入权限。

  • AWS Lambda (Lambda) – 为您函数的执行角色添加写入权限。

创建角色用于 X-Ray

  1. 打开 iam控制台.

  2. 选择 角色.

  3. 选择 创建新角色.

  4. 对于 角色名称,类型 xray-application...选择 下一步。

  5. 对于 角色类型,选择 AmazonEC2.

  6. 附加托管策略以向您应用程序授予对 AWS 服务的访问权限。

    • AWSXRayDaemonWriteAccess – 授予 X-Ray 守护程序上传跟踪数据的权限。

    • Amazons3Readonlyaccess (Amazon EC2 Only) – 提供下载 X-Ray 守护程序 Amazon S3.

    如果应用程序使用 AWS 开发工具包访问其他服务,请添加向这些服务授予访问权限的策略。

  7. 选择 下一步.

  8. 选择 创建角色.

加密用户权限

X-Ray 对所有跟踪数据和默认值进行加密,并且您可以 将其配置为使用您管理的密钥. 如果您选择 AWS Key Management Service 客户管理的客户主密钥(CMK),您需要确保关键的访问策略允许您授予权限 X-Ray 要使用它加密。您账户中的其他用户还需要访问该密钥来查看在 X-Ray 控制台中加密的跟踪数据。

对于客户托管 CMK,请使用允许以下操作的访问策略配置您的密钥。

  • 配置密钥的用户 X-Ray 拥有呼叫权限 kms:CreateGrantkms:DescribeKey.

  • 可访问加密跟踪数据的用户可以调用的权限 kms:Decrypt.

当您将用户添加到 关键用户 组中的“关键配置”部分中 IAM 控制台,他们对这两个操作都有许可。只需要在关键策略中设置权限,因此您不需要 AWS KMS 对您的 IAM 用户、组或角色。有关详细信息,请参阅 在 AWS KMS 开发人员指南.

对于默认加密,或如果您选择 AWS 管理CMK(aws/xray),许可基于谁有权访问 X-Ray API。有权访问 PutEncryptionConfig,包括 AWSXrayFullAccess,可以更改加密配置。要防止用户更改加密密钥,请勿向这些用户授予使用 的权限。PutEncryptionConfig.