本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 的身份和访问管理 Amazon X-Ray Identity and access management Amazon Identity and Access Management (IAM) Amazon Web Services 服务 可帮助管理员安全地控制对 Amazon 资源的访问权限。IAM 管理员控制可以*通过身份验证*(登录)和*授权*(具有权限)使用 X-Ray 资源的人员。您可以使用 IAM Amazon Web Services 服务 ,无需支付额外费用。 **Topics** + [ ## 受众 ](#security_iam_audience) + [ ## 使用身份进行身份验证 ](#security_iam_authentication) + [ ## 使用策略管理访问 ](#security_iam_access-manage) + [ # 如何 Amazon X-Ray 与 IAM 配合使用 ](security_iam_service-with-iam.md) + [ # Amazon X-Ray 基于身份的策略示例 ](security_iam_id-based-policy-examples.md) + [ # 对 Amazon X-Ray 身份和访问进行故障排除 ](security_iam_troubleshoot.md) ## 受众 您的使用方式 Amazon Identity and Access Management (IAM) 因您的角色而异: + **服务用户**:如果您无法访问功能,请从管理员处请求权限(请参阅[对 Amazon X-Ray 身份和访问进行故障排除](security_iam_troubleshoot.md)) + **服务管理员**:确定用户访问权限并提交权限请求(请参阅[如何 Amazon X-Ray 与 IAM 配合使用](security_iam_service-with-iam.md)) + **IAM 管理员**:编写用于管理访问权限的策略(请参阅[Amazon X-Ray 基于身份的策略示例](security_iam_id-based-policy-examples.md)) ## 使用身份进行身份验证 身份验证是您 Amazon 使用身份凭证登录的方式。您必须以 IAM 用户身份进行身份验证 Amazon Web Services 账户根用户,或者通过担任 IAM 角色进行身份验证。 对于编程访问, Amazon 提供 SDK 和 CLI 来对请求进行加密签名。有关更多信息,请参阅*《IAM 用户指南》*中的[适用于 API 请求的Amazon 签名版本 4](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_sigv.html)。 ### Amazon Web Services 账户 root 用户 创建时 Amazon Web Services 账户,首先会有一个名为 Amazon Web Services 账户 *root 用户的*登录身份,该身份可以完全访问所有资源 Amazon Web Services 服务 和资源。我们强烈建议不要使用根用户进行日常任务。有关要求根用户凭证的任务,请参阅*《IAM 用户指南》*中的[需要根用户凭证的任务](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)。 ### IAM 用户和群组 *[IAM 用户](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users.html)*是对某个人员或应用程序具有特定权限的一个身份。建议使用临时凭证,而非具有长期凭证的 IAM 用户。有关更多信息,请参阅 *IAM 用户指南*[中的要求人类用户使用身份提供商的联合身份验证才能 Amazon 使用临时证书进行访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp)。 [https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_groups.html)指定一组 IAM 用户,便于更轻松地对大量用户进行权限管理。有关更多信息,请参阅*《IAM 用户指南》*中的 [IAM 用户使用案例](https://docs.amazonaws.cn/IAM/latest/UserGuide/gs-identities-iam-users.html)。 ### IAM 角色 *[IAM 角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles.html)*是具有特定权限的身份,可提供临时凭证。您可以通过[从用户切换到 IAM 角色(控制台)](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use_switch-role-console.html)或调用 Amazon CLI 或 Amazon API 操作来代入角色。有关更多信息,请参阅《IAM 用户指南》**中的[担任角色的方法](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_manage-assume.html)。 IAM 角色对于联合用户访问、临时 IAM 用户权限、跨账户访问、跨服务访问以及在 Amazon EC2 上运行的应用程序非常有用。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。 ## 使用策略管理访问 您可以 Amazon 通过创建策略并将其附加到 Amazon 身份或资源来控制中的访问权限。策略定义了与身份或资源关联时的权限。 Amazon 在委托人提出请求时评估这些政策。大多数策略都以 JSON 文档的 Amazon 形式存储在中。有关 JSON 策略文档的更多信息,请参阅*《IAM 用户指南》*中的 [JSON 策略概述](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#access_policies-json)。 管理员使用策略,通过定义哪个**主体**可以在什么**条件**下对哪些**资源**执行哪些**操作**来指定谁有权访问什么。 默认情况下,用户和角色没有权限。IAM 管理员创建 IAM 策略并将其添加到角色中,然后用户可以担任这些角色。IAM 策略定义权限,与执行操作所用的方法无关。 ### 基于身份的策略 基于身份的策略是您附加到身份(用户、组或角色)的 JSON 权限策略文档。这些策略控制身份可以执行什么操作、对哪些资源执行以及在什么条件下执行。要了解如何创建基于身份的策略,请参阅《IAM 用户指南》**中的[使用客户管理型策略定义自定义 IAM 权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html)。 基于身份的策略可以是*内联策略*(直接嵌入到单个身份中)或*托管策略*(附加到多个身份的独立策略)。要了解如何在托管策略和内联策略之间进行选择,请参阅*《IAM 用户指南》*中的[在托管策略与内联策略之间进行选择](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html)。 ### 基于资源的策略 基于资源的策略是附加到资源的 JSON 策略文档。示例包括 IAM *角色信任策略*和 Amazon S3 *存储桶策略*。在支持基于资源的策略的服务中,服务管理员可以使用它们来控制对特定资源的访问。您必须在基于资源的策略中[指定主体](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_principal.html)。 基于资源的策略是位于该服务中的内联策略。您不能在基于资源的策略中使用 IAM 中的 Amazon 托管策略。 ### 访问控制列表 (ACLs) 访问控制列表 (ACLs) 控制哪些委托人(账户成员、用户或角色)有权访问资源。 ACLs 与基于资源的策略类似,尽管它们不使用 JSON 策略文档格式。 Amazon S3 和 Amazon VPC 就是支持的服务示例 ACLs。 Amazon WAF要了解更多信息 ACLs,请参阅《*亚马逊简单存储服务开发者指南*》中的[访问控制列表 (ACL) 概述](https://docs.amazonaws.cn/AmazonS3/latest/userguide/acl-overview.html)。 ### 其他策略类型 Amazon 支持其他策略类型,这些策略类型可以设置更常见的策略类型授予的最大权限: + **权限边界** – 设置基于身份的策略可以授予 IAM 实体的最大权限。有关更多信息,请参阅《 IAM 用户指南》**中的 [IAM 实体的权限边界](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_boundaries.html)。 + **服务控制策略 (SCPs)**-在中指定组织或组织单位的最大权限 Amazon Organizations。有关更多信息,请参阅《Amazon Organizations 用户指南》**中的[服务控制策略](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_scps.html)。 + **资源控制策略 (RCPs)**-设置账户中资源的最大可用权限。有关更多信息,请参阅《*Amazon Organizations 用户指南》*中的[资源控制策略 (RCPs)](https://docs.amazonaws.cn/organizations/latest/userguide/orgs_manage_policies_rcps.html)。 + **会话策略** – 在为角色或联合用户创建临时会话时,作为参数传递的高级策略。有关更多信息,请参阅《IAM 用户指南》**中的[会话策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html#policies_session)。 ### 多个策略类型 当多个类型的策略应用于一个请求时,生成的权限更加复杂和难以理解。要了解在涉及多种策略类型时如何 Amazon 确定是否允许请求,请参阅 *IAM 用户指南*中的[策略评估逻辑](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)。 # 如何 Amazon X-Ray 与 IAM 配合使用 在使用 IAM 管理对 X-Ray 的访问之前,您应了解哪些 IAM 功能可与 X-Ray 结合使用。要全面了解 X-Ray 和其他人如何 Amazon Web Services 服务 使用 IAM [Amazon Web Services 服务 ,请参阅 IAM 用户指南中的与 I](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *AM* 配合使用。 您可以使用 Amazon Identity and Access Management (IAM) 向账户中的用户和计算资源授予 X-Ray 权限。无论您的用户使用哪个客户端(控制台、 Amazon SDK Amazon CLI),IAM 都会在 API 级别控制对 X-Ray 服务的访问权限,以统一强制执行权限。 要[使用 X-Ray 控制台](aws-xray-interface-console.md#xray-console)查看跟踪地图和分段,只需具有读取权限即可。要启用控制台访问,请向您的 IAM 用户添加 `AWSXrayReadOnlyAccess` [ 托管策略](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies)。 要进行[本地开发和测试](#xray-permissions-local),请创建一个具有读取和写入权限的 IAM 角色。[担任该角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use.html)并存储该角色的临时凭证。您可以将这些凭据与 X-Ray 守护程序 Amazon CLI、和 Amazon SDK 一起使用。请参阅[将 Amazon CLI与临时安全凭证一起使用](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli),了解更多信息。 要[将您的检测应用程序部署到 Amazon](#xray-permissions-aws),请创建一个具有写入权限的 IAM 角色并将其分配给运行您的应用程序的资源。 `AWSXRayDaemonWriteAccess`包括上传跟踪的权限,以及一些支持使用[采样规则](xray-console-sampling.md)的读取权限。 读写策略不包含配置[加密密钥设置](xray-console-encryption.md)和采样规则的权限。用于`AWSXrayFullAccess`访问这些设置,或在自定义策略 APIs中添加[配置](xray-api-configuration.md)。要使用您创建的客户托管密钥进行加密和解密,您还需要[使用该密钥的权限](#xray-permissions-encryption)。 **Topics** + [ ## X-Ray 基于身份的策略 ](#security_iam_service-with-iam-id-based-policies) + [ ## X-Ray 基于资源的策略 ](#security_iam_service-with-iam-resource-based-policies) + [ ## 基于 X-Ray 标签的授权 ](#security_iam_service-with-iam-tags) + [ ## 本地运行您的应用程序 ](#xray-permissions-local) + [ ## 在中运行您的应用程序 Amazon ](#xray-permissions-aws) + [ ## 用户加密权限 ](#xray-permissions-encryption) ## X-Ray 基于身份的策略 通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。X-Ray 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。 ### 操作 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。 X-Ray 中的策略操作在操作前使用以下前缀:`xray:`。例如,要授予某人使用 X-Ray `GetGroup` API 操作标签组的权限,您应将`xray:GetGroup`操作纳入其策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。X-Ray 定义了一组自己的操作,以描述您可以使用该服务执行的任务。 要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示: ``` "Action": [ "xray:action1", "xray:action2" ``` 您也可以使用通配符 (\$1) 指定多个操作。例如,要指定以单词 `Get` 开头的所有操作,包括以下操作: ``` "Action": "xray:Get*" ``` 要查看 X-Ray 操作列表,请参阅 *IAM 用户指南*中的[Amazon X-Ray定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsx-ray.html)。 ### 资源 管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说,哪个**主体**可以对什么**资源**执行**操作**,以及在什么**条件**下执行。 `Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践,请使用其 [Amazon 资源名称(ARN)](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作,请使用通配符 (\$1) 指示语句应用于所有资源。 ``` "Resource": "*" ``` 您可以使用 IAM 策略控制对资源的访问。对于支持资源级权限的操作,您可以使用 Amazon 资源名称 (ARN) 标识策略适用的资源。 可以在 IAM 策略中使用所有 X-Ray 操作以授予或拒绝用户使用该操作的权限。但是,并非所有 [X-Ray 操作](https://docs.amazonaws.cn/xray/latest/api/API_Operations.html)都支持资源级权限(这使您能够指定可对其执行操作的资源)。 对于不支持资源级权限的操作,您必须将“`*`”作为资源。 以下 X-Ray 操作支持资源级权限: + `CreateGroup` + `GetGroup` + `UpdateGroup` + `DeleteGroup` + `CreateSamplingRule` + `UpdateSamplingRule` + `DeleteSamplingRule` 下面是 `CreateGroup` 操作基于身份的权限策略的示例:此示例介绍了如何使用与包含唯一 ID 作为通配符的组名称 `local-users` 相关的 ARN。该唯一 ID 在组创建时生成,因此策略中无法前提预测。使用 `GetGroup`、`UpdateGroup` 或 `DeleteGroup` 时,可将此定义为通配符或确切的 ARN(包括 ID)。 **注意** 采样规则的 ARN 由其名称定义。与组不同 ARNs,采样规则没有唯一生成的 ID。 要查看 X-Ray 资源类型及其列表 ARNs,请参阅 *IAM 用户指南 Amazon X-Ray*中的[定义资源](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 [Amazon X-Ray定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsx-ray.html)。 ### 条件键 X-Ray 不提供任何特定于服务的条件键,但支持使用某些全局条件键。要查看所有 Amazon 全局条件键,请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。 ### 示例 要查看 X-Ray 基于身份的策略的示例,请参阅 [Amazon X-Ray 基于身份的策略示例](security_iam_id-based-policy-examples.md)。 ## X-Ray 基于资源的策略 X-Ray 支持基于资源的策略,用于当前和未来的 Amazon Web Services 服务 集成,例如 [Amazon SNS](https://docs.amazonaws.cn/sns/latest/dg/sns-active-tracing.html) 主动跟踪。基于 X-Ray 资源的策略可以由其他 Amazon Web Services 管理控制台人更新,也可以通过 Amazon SDK 或 CLI 进行更新。例如,Amazon SNS 控制台会尝试自动配置基于资源的策略,将跟踪发送给 X-Ray。以下策略文档提供手动配置 X-Ray 基于资源的策略的示例。 **Example Amazon SNS 主动跟踪的 X-Ray 基于资源的策略示例** 以下示例策略文档指定了 Amazon SNS 将跟踪数据发送给 X-Ray 所需要的权限: ``` { Version: "2012-10-17", Statement: [ { Sid: "SNSAccess", Effect: Allow, Principal: { Service: "sns.amazonaws.com", }, Action: [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], Resource: "*", Condition: { StringEquals: { "aws:SourceAccount": "account-id" }, StringLike: { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] } ``` 使用 CLI 创建基于资源的策略,赋予 Amazon SNS 将跟踪数据发送给 X-Ray 的权限: ``` aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }' ``` 要使用这些示例,请将*`partition`*、*`region`**`account-id`*、和*`topic-name`*替换为您的特定 Amazon 分区、区域、账户 ID 和 Amazon SNS 主题名称。如需赋予所有 Amazon SNS 主题将跟踪数据发送给 X-Ray 的权限,请将主题名称替换为 `*`。 ## 基于 X-Ray 标签的授权 您可以将标签附加到 X-Ray 组或采样规则,或在发给 X-Ray 请求中传递标签。要基于标签控制访问,您需要使用 `xray:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记 X-Ray 资源的更多信息,请参阅[标记 X-Ray 采样规则和组](xray-tagging.md)。 要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅 [根据标签管理对 X-Ray 组和采样规则的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags)。 ## 本地运行您的应用程序 您的已检测应用程序将跟踪数据发送到 X-Ray 进程守护程序。进程守护程序缓存分段文档,并分批将它们上传到 X-Ray 服务。进程守护程序需要写入权限以将跟踪数据和遥测数据上传到 X-Ray 服务。 当[在本地运行进程守护程序](xray-daemon-local.md)时,创建一个 IAM 角色,[担任该角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use.html)并将临时凭证存储在环境变量中,或用户文件夹中名为 `.aws` 的文件夹中名为 `credentials` 的文件中。请参阅[将 Amazon CLI与临时安全凭证一起使用](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli),了解更多信息。 **Example \$1/.aws/credentials** ``` [default] aws_access_key_id={access key ID} aws_secret_access_key={access key} aws_session_token={Amazon session token} ``` 如果您已经配置了用于 Amazon SDK 或的凭证 Amazon CLI,则守护程序可以使用这些凭据。如果有多个配置文件可用,则该进程守护程序使用默认配置文件。 ## 在中运行您的应用程序 Amazon 当您在上运行应用程序时 Amazon,使用角色向运行该守护程序的 Amazon EC2 实例或 Lambda 函数授予权限。 + **Amazon Elastic Compute Cloud (Amazon EC2)** - 创建一个 IAM 角色并将其作为[实例配置文件](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)附加到 EC2 实例。 + **Amazon Elastic Container Service (Amazon ECS)** - 创建一个 IAM 角色并将其作为[容器实例 IAM 角色](https://docs.amazonaws.cn/AmazonECS/latest/developerguide/instance_IAM_role.html)附加到容器实例。 + **Amazon Elastic Beanstalk (Elastic Beanstalk**[)— Elastic Beanstalk 在其默认实例配置文件中包含 X-Ray 权限。](https://docs.amazonaws.cn/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance)您可以使用该默认实例配置文件,或在自定义实例配置文件中添加写入权限。 + **Amazon Lambda (Lambda)**-向函数的执行角色添加写入权限。 **如何创建角色来使用 X-Ray** 1. 打开 [IAM 控制台](https://console.amazonaws.cn/iam/home)。 1. 选择**角色**。 1. 选择**创建新角色**。 1. 对于**角色名称**,键入 **xray-application**。选择**下一步**。 1. 对于 **Role Type**,选择 **Amazon EC2**。 1. 附加以下托管策略以向您应用程序授予对 Amazon Web Services 服务的访问权限。 + **AWSXRayDaemonWriteAccess**— 授予 X-Ray 守护程序上传跟踪数据的权限。 如果您的应用程序使用 Amazon SDK 访问其他服务,请添加授予对这些服务的访问权限的策略。 1. 选择**下一步**。 1. 请选择**创建角色**。 ## 用户加密权限 默认情况下,X-Ray 将加密所有跟踪数据,您可以[将它配置为使用您管理的密钥](xray-console-encryption.md)。如果您选择 Amazon Key Management Service 客户管理的密钥,则需要确保该密钥的访问策略允许您向 X-Ray 授予使用它进行加密的权限。您账户中的其他用户还需要访问该密钥来查看在 X-Ray 控制台中加密的跟踪数据。 对于客户托管密钥,请使用允许以下操作的访问策略配置您的密钥: + 在 X-Ray 中配置密钥的用户有权调用 `kms:CreateGrant` 和 `kms:DescribeKey`。 + 可以访问加密跟踪数据的用户有权调用 `kms:Decrypt`。 当您在 IAM 控制台的密钥配置部分中为**密钥用户**组添加一名用户时,他们同时拥有这两项操作的权限。只需在密钥策略上设置权限,因此您不需要对用户、群组或角色 Amazon KMS 拥有任何权限。有关更多信息,请参阅[《 Amazon KMS 开发人员指南》中的使用密钥策略](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html)。 对于默认加密,或者如果您选择 Amazon 托管 CMK (`aws/xray`),则权限取决于谁有权访问 X-R APIs ay。包含在 `AWSXrayFullAccess` 中的具有对 [https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html](https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html) 的访问权限的任何人都可以更改加密配置。要防止用户更改加密密钥,请勿向这些用户授予使用 [https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html](https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html) 的权限。 # Amazon X-Ray 基于身份的策略示例 基于身份的策略示例 默认情况下,用户和角色没有创建或修改 X-Ray 资源的权限。他们也无法使用 Amazon Web Services 管理控制台 Amazon CLI、或 Amazon API 执行任务。管理员必须创建 IAM policy,以便为用户和角色授予权限以对所需的指定资源执行特定的 API 操作。然后,管理员必须将这些策略附加到需要这些权限的用户或组。 要了解如何使用这些示例 JSON 策略文档创建 IAM 基于身份的策略,请参阅《IAM 用户指南》**中的[在 JSON 选项卡上创建策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。 **Topics** + [ ## 策略最佳实践 ](#security_iam_service-with-iam-policy-best-practices) + [ ## 使用 X-Ray 控制台 ](#security_iam_id-based-policy-examples-console) + [ ## 允许用户查看他们自己的权限 ](#security_iam_id-based-policy-examples-view-own-permissions) + [ ## 根据标签管理对 X-Ray 组和采样规则的访问权限 ](#security_iam_id-based-policy-examples-manage-sampling-tags) + [ ## X-Ray 的 IAM 托管策略 ](#xray-permissions-managedpolicies) + [ ## Amazon 托管策略的 X-Ray 更新 ](#xray-permissions-managedpolicies-history) + [ ## 在 IAM 策略中指定资源 ](#xray-permissions-resources) ## 策略最佳实践 基于身份的策略确定某个人是否可以创建、访问或删除您账户中的 X-Ray 资源。这些操作可能会使 Amazon Web Services 账户产生成本。创建或编辑基于身份的策略时,请遵循以下指南和建议: + **开始使用 Amazon 托管策略并转向最低权限权限** — 要开始向用户和工作负载授予权限,请使用为许多常见用例授予权限的*Amazon 托管策略*。它们在你的版本中可用 Amazon Web Services 账户。我们建议您通过定义针对您的用例的 Amazon 客户托管策略来进一步减少权限。有关更多信息,请参阅《IAM 用户指南》**中的 [Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[工作职能的Amazon 托管策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies_job-functions.html)。 + **应用最低权限**:在使用 IAM 策略设置权限时,请仅授予执行任务所需的权限。为此,您可以定义在特定条件下可以对特定资源执行的操作,也称为*最低权限许可*。有关使用 IAM 应用权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的策略和权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。 + **使用 IAM 策略中的条件进一步限制访问权限**:您可以向策略添加条件来限制对操作和资源的访问。例如,您可以编写策略条件来指定必须使用 SSL 发送所有请求。如果服务操作是通过特定的方式使用的,则也可以使用条件来授予对服务操作的访问权限 Amazon Web Services 服务,例如 Amazon CloudFormation。有关更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 + **使用 IAM Access Analyzer 验证您的 IAM 策略,以确保权限的安全性和功能性**:IAM Access Analyzer 会验证新策略和现有策略,以确保策略符合 IAM 策略语言(JSON)和 IAM 最佳实践。IAM Access Analyzer 提供 100 多项策略检查和可操作的建议,以帮助您制定安全且功能性强的策略。有关更多信息,请参阅《IAM 用户指南》**中的[使用 IAM Access Analyzer 验证策略](https://docs.amazonaws.cn/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。 + **需要多重身份验证 (MFA**)-如果 Amazon Web Services 账户您的场景需要 IAM 用户或根用户,请启用 MFA 以提高安全性。若要在调用 API 操作时需要 MFA,请将 MFA 条件添加到您的策略中。有关更多信息,请参阅《IAM 用户指南》**中的[使用 MFA 保护 API 访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。 有关 IAM 中的最佳实操的更多信息,请参阅《IAM 用户指南》**中的 [IAM 中的安全最佳实践](https://docs.amazonaws.cn/IAM/latest/UserGuide/best-practices.html)。 ## 使用 X-Ray 控制台 使用控制台 要访问 Amazon X-Ray 控制台,您必须拥有一组最低权限。这些权限必须允许您列出和查看有关您的 X-Ray 资源的详细信息 Amazon Web Services 账户。如果创建比必需的最低权限更为严格的基于身份的策略,对于附加了该策略的实体(用户或角色),控制台将无法按预期正常运行。 为确保这些实体仍然可以使用 X-Ray 控制台,请将`AWSXRayReadOnlyAccess` Amazon 托管策略附加到这些实体。[X-Ray 的 IAM 托管策略](#xray-permissions-managedpolicies)中更加详细地介绍了此策略。有关更多信息,请参阅《IAM 用户指南》**中的[为用户添加权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。 对于仅调用 Amazon CLI 或 Amazon API 的用户,您无需为其设置最低控制台权限。相反,只允许访问与您尝试执行的 API 操作相匹配的操作。 ## 允许用户查看他们自己的权限 该示例说明了您如何创建策略,以允许 IAM 用户查看附加到其用户身份的内联和托管式策略。此策略包括在控制台上或使用 Amazon CLI 或 Amazon API 以编程方式完成此操作的权限。 ``` { "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] } ``` ## 根据标签管理对 X-Ray 组和采样规则的访问权限 您可以在基于身份的策略中使用条件,以便基于标签控制对 X-Ray 组和采样规则的访问。以下示例策略可用于拒绝用户角色创建、删除或更新具有标签 `stage:prod` 或 `stage:preprod` 的组的权限。有关标记 X-Ray 采样规则和组的更多信息,请参阅 [标记 X-Ray 采样规则和组](xray-tagging.md)。 如需拒绝创建采样规则,请使用 `aws:RequestTag` 指明标签不能作为创建请求的一部分进行传递。如需拒绝更新或删除采样规则,请使用 `aws:ResourceTag` 拒绝基于这些资源应用的标签的操作。 可以将这些策略(或将它们整合为单一策略,然后再附加策略)附加到账户中的用户。如果用户想要对组或采样规则进行更改,则相应的组或采样规则不得标记为 `stage=prepod` 或 `stage=prod`。条件标签键 `Stage` 匹配 `Stage` 和 `stage`,因为条件键名称不区分大小写。有关条件块的更多信息,请参阅《IAM 用户指南》**中的 [IAM JSON 策略元素:条件](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 角色中附加有以下策略的用户无法将标签 `role:admin` 添加到资源,且无法从具有关联的 `role:admin` 的资源中删除标签。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Sid": "AllowAllXRay", "Effect": "Allow", "Action": "xray:*", "Resource": "*" }, { "Sid": "DenyRequestTagAdmin", "Effect": "Deny", "Action": "xray:TagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/role": "admin" } } }, { "Sid": "DenyResourceTagAdmin", "Effect": "Deny", "Action": "xray:UntagResource", "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/role": "admin" } } } ] } ``` ------ ## X-Ray 的 IAM 托管策略 为方便授权,IAM 支持将**托管策略**用于每个服务。服务可以在发布新权限时使用新权限更新这些托管策略 APIs。 Amazon X-Ray 为只读、只写和管理员用例提供托管策略。 + `AWSXrayReadOnlyAccess`— 读取使用 X-Ray 控制台或 Amazon SDK 从 X-Ray API 获取跟踪数据、轨迹地图、见解和 X-Ray 配置的权限。 Amazon CLI包括可观察性访问管理器 (OAM) `oam:ListSinks` 和`oam:ListAttachedSinks`权限,允许控制台查看作为[CloudWatch 跨](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)账户可观察性一部分的源账户共享的跟踪记录。`BatchGetTraceSummaryById`和 `GetDistinctTraceGraphs` API 操作不打算由您的代码调用,也不包含在 Amazon CLI 和中 Amazon SDKs。 ``` { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries", "xray:BatchGetTraces", "xray:BatchGetTraceSummaryById", "xray:GetDistinctTraceGraphs", "xray:GetServiceGraph", "xray:GetTraceGraph", "xray:GetTraceSummaries", "xray:GetGroups", "xray:GetGroup", "xray:ListTagsForResource", "xray:ListResourcePolicies", "xray:GetTimeSeriesServiceStatistics", "xray:GetInsightSummaries", "xray:GetInsight", "xray:GetInsightEvents", "xray:GetInsightImpactGraph", "oam:ListSinks" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } } ``` + `AWSXRayDaemonWriteAccess`— 写入使用 X-Ray 守护程序或 Amazon SDK 将分段文档和遥测数据上传到 X-Ray API 的权限。 Amazon CLI包含读取权限以获取[采样规则](xray-console-sampling.md)并报告采样结果。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": [ "*" ] } ] } ``` ------ + `AWSXrayCrossAccountSharingConfiguration` - 授予创建、管理和查看 Observability Access Manager 链接的权限,在账户之间实现 X-Ray 资源共享。用于启用来源账户和监控[CloudWatch 账户之间的跨账户可观察性](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] } ``` ------ + `AWSXrayFullAccess`— 使用所有 X-Ray 的权限 APIs,包括读取权限、写入权限以及配置加密密钥设置和采样规则的权限。包括可观察性访问管理器 (OAM) `oam:ListSinks` 和`oam:ListAttachedSinks`权限,允许控制台查看作为[CloudWatch 跨](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)账户可观察性一部分的源账户共享的跟踪记录。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:*", "oam:ListSinks" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] } ``` ------ **将托管策略添加到 IAM 用户、组或角色** 1. 打开 [IAM 控制台](https://console.amazonaws.cn/iam/home)。 1. 打开与您的实例配置文件、IAM 用户或 IAM 组关联的角色。 1. 在**权限**下,附加托管策略。 ## Amazon 托管策略的 X-Ray 更新 查看自该服务开始跟踪这些更改以来,X-Ray Amazon 托管策略更新的详细信息。有关此页面更改的自动提示,请订阅 X-Ray [文档历史记录](document-history.md)页面上的 RSS 源。 | 更改 | 描述 | 日期 | | --- | --- | --- | | [X-Ray 的 IAM 托管策略](#xray-permissions-managedpolicies) - 添加了新的 `AWSXrayCrossAccountSharingConfiguration`,并更新了 `AWSXrayReadOnlyAccess` 和 `AWSXrayFullAccess` 策略。 | X-Ray 在这些策略中添加了可观察性访问管理器 (OAM) 权限`oam:ListSinks`,允许控制台查看作为[CloudWatch 跨](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)账户可观察性一部分的源账户共享的跟踪。`oam:ListAttachedSinks` | 2022 年 11 月 27 日 | | [X-Ray 的 IAM 托管策略](#xray-permissions-managedpolicies) - 更新了 `AWSXrayReadOnlyAccess` 策略。 | X-Ray 添加了一项 API 操作,`ListResourcePolicies`。 | 2022 年 11 月 15 日 | | [使用 X-Ray 控制台](#security_iam_id-based-policy-examples-console) - 更新了 `AWSXrayReadOnlyAccess` 策略 | X-Ray 添加了两项 API 操作,`BatchGetTraceSummaryById` 和 `GetDistinctTraceGraphs`。 这些操作不应由您的代码调用。因此,这些 API 操作不包含在 Amazon CLI 和中 Amazon SDKs。 | 2022 年 11 月 11 日 | ## 在 IAM 策略中指定资源 您可以使用 IAM 策略控制对资源的访问。对于支持资源级权限的操作,您可以使用 Amazon 资源名称 (ARN) 标识策略适用的资源。 可以在 IAM 策略中使用所有 X-Ray 操作以授予或拒绝用户使用该操作的权限。但是,并非所有 [X-Ray 操作](https://docs.amazonaws.cn/xray/latest/api/API_Operations.html)都支持资源级权限(这使您能够指定可对其执行操作的资源)。 对于不支持资源级权限的操作,您必须将“`*`”作为资源。 以下 X-Ray 操作支持资源级权限: + `CreateGroup` + `GetGroup` + `UpdateGroup` + `DeleteGroup` + `CreateSamplingRule` + `UpdateSamplingRule` + `DeleteSamplingRule` 下面是 `CreateGroup` 操作基于身份的权限策略的示例:此示例介绍了如何使用与包含唯一 ID 作为通配符的组名称 `local-users` 相关的 ARN。该唯一 ID 在组创建时生成,因此策略中无法前提预测。使用 `GetGroup`、`UpdateGroup` 或 `DeleteGroup` 时,可将此定义为通配符或确切的 ARN(包括 ID)。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateGroup" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:group/local-users/*" ] } ] } ``` ------ 下面是 `CreateSamplingRule` 操作基于身份的权限策略的示例: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateSamplingRule" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep" ] } ] } ``` ------ **注意** 采样规则的 ARN 由其名称定义。与组不同 ARNs,采样规则没有唯一生成的 ID。 # 对 Amazon X-Ray 身份和访问进行故障排除 问题排查 使用以下信息可帮助您诊断和修复在使用 X-Ray 和 IAM 时可能遇到的常见问题。 **Topics** + [ ## 我无权在 X-Ray 中执行操作 ](#security_iam_troubleshoot-no-permissions) + [ ## 我无权执行 iam:PassRole ](#security_iam_troubleshoot-passrole) + [ ## 我是管理员并希望允许其他人访问 X-Ray ](#security_iam_troubleshoot-admin-delegate) + [ ## 我想允许我以外的人访问我 Amazon Web Services 账户 的 X-Ray 资源 ](#security_iam_troubleshoot-cross-account-access) ## 我无权在 X-Ray 中执行操作 如果 Amazon Web Services 管理控制台 告诉您您无权执行某项操作,则必须联系管理员寻求帮助。管理员是向您提供登录凭证的人。 当 `mateojackson` 用户尝试使用控制台查看有关采样规则的详细信息,但不具有 `xray:GetSamplingRules` 权限时,会发生以下示例错误。 ``` User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: xray:GetSamplingRules on resource: arn:${Partition}:xray:${Region}:${Account}:sampling-rule/${SamplingRuleName} ``` 在这种情况下,Mateo 请求管理员更新其策略,以允许他使用 `xray:GetSamplingRules` 操作访问采样规则资源。 ## 我无权执行 iam:PassRole 如果您收到一个错误,表明您无权执行 `iam:PassRole` 操作,则必须更新策略以允许您将角色传递给 X-Ray。 有些 Amazon Web Services 服务 允许您将现有角色传递给该服务,而不是创建新的服务角色或服务相关角色。为此,您必须具有将角色传递到服务的权限。 当名为 `marymajor` 的 IAM 用户尝试使用控制台在 X-Ray 中执行操作时,会发生以下示例错误。但是,服务必须具有服务角色所授予的权限才可执行此操作。Mary 不具有将角色传递到服务的权限。 ``` User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole ``` 在这种情况下,必须更新 Mary 的策略以允许她执行 `iam:PassRole` 操作。 如果您需要帮助,请联系您的 Amazon 管理员。您的管理员是提供登录凭证的人。 ## 我是管理员并希望允许其他人访问 X-Ray 要允许其他人访问 X-Ray,您必须向需要访问权限的人员或应用程序授予权限。如果使用 Amazon IAM Identity Center 管理人员和应用程序,则可以向用户或组分配权限集来定义其访问权限级别。权限集会自动创建 IAM 策略并将其分配给与人员或应用程序关联的 IAM 角色。有关更多信息,请参阅《Amazon IAM Identity Center 用户指南》**中的[权限集](https://docs.amazonaws.cn/singlesignon/latest/userguide/permissionsetsconcept.html)。 如果未使用 IAM Identity Center,则必须为需要访问的人员或应用程序创建 IAM 实体(用户或角色)。然后,您必须将策略附加到实体,以便在 X-Ray 中向其授予正确的权限。授予权限后,向用户或应用程序开发人员提供凭证。他们将使用这些凭证访问 Amazon。要了解有关创建 IAM 用户、组、策略和权限的更多信息,请参阅《IAM 用户指南》**中的 [IAM 身份](https://docs.amazonaws.cn/IAM/latest/UserGuide/id.html)和 [IAM 中的策略和权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies.html)。 ## 我想允许我以外的人访问我 Amazon Web Services 账户 的 X-Ray 资源 您可以创建一个角色,以便其他账户中的用户或您组织外的人员可以使用该角色来访问您的资源。您可以指定谁值得信赖,可以代入角色。对于支持基于资源的策略或访问控制列表 (ACLs) 的服务,您可以使用这些策略向人们授予访问您的资源的权限。 要了解更多信息,请参阅以下内容: + 要了解 X-Ray 是否支持这些特征,请参阅 [如何 Amazon X-Ray 与 IAM 配合使用](security_iam_service-with-iam.md)。 + 要了解如何提供对您拥有的资源的访问权限 Amazon Web Services 账户 ,请参阅 [IAM 用户*指南中的向您拥有 Amazon Web Services 账户 的另一个 IAM 用户*提供访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)权限。 + 要了解如何向第三方提供对您的资源的访问[权限 Amazon Web Services 账户,请参阅 *IAM 用户指南*中的向第三方提供](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)访问权限。 Amazon Web Services 账户 + 要了解如何通过身份联合验证提供访问权限,请参阅《IAM 用户指南》**中的[为经过外部身份验证的用户(身份联合验证)提供访问权限](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)。 + 要了解使用角色和基于资源的策略进行跨账户访问之间的差别,请参阅《IAM 用户指南》**中的 [IAM 中的跨账户资源访问](https://docs.amazonaws.cn/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html)。