

本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 如何 Amazon X-Ray 与 IAM 配合使用


在使用 IAM 管理对 X-Ray 的访问之前，您应了解哪些 IAM 功能可与 X-Ray 结合使用。要全面了解 X-Ray 和其他人如何 Amazon Web Services 服务 使用 IAM [Amazon Web Services 服务 ，请参阅 IAM 用户指南中的与 I](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) *AM* 配合使用。

您可以使用 Amazon Identity and Access Management (IAM) 向账户中的用户和计算资源授予 X-Ray 权限。无论您的用户使用哪个客户端（控制台、 Amazon SDK Amazon CLI），IAM 都会在 API 级别控制对 X-Ray 服务的访问权限，以统一强制执行权限。

要[使用 X-Ray 控制台](aws-xray-interface-console.md#xray-console)查看跟踪地图和分段，只需具有读取权限即可。要启用控制台访问，请向您的 IAM 用户添加 `AWSXrayReadOnlyAccess` [ 托管策略](security_iam_id-based-policy-examples.md#xray-permissions-managedpolicies)。

要进行[本地开发和测试](#xray-permissions-local)，请创建一个具有读取和写入权限的 IAM 角色。[担任该角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use.html)并存储该角色的临时凭证。您可以将这些凭据与 X-Ray 守护程序 Amazon CLI、和 Amazon SDK 一起使用。请参阅[将 Amazon CLI与临时安全凭证一起使用](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli)，了解更多信息。

要[将您的检测应用程序部署到 Amazon](#xray-permissions-aws)，请创建一个具有写入权限的 IAM 角色并将其分配给运行您的应用程序的资源。 `AWSXRayDaemonWriteAccess`包括上传跟踪的权限，以及一些支持使用[采样规则](xray-console-sampling.md)的读取权限。

读写策略不包含配置[加密密钥设置](xray-console-encryption.md)和采样规则的权限。用于`AWSXrayFullAccess`访问这些设置，或在自定义策略 APIs中添加[配置](xray-api-configuration.md)。要使用您创建的客户托管密钥进行加密和解密，您还需要[使用该密钥的权限](#xray-permissions-encryption)。

**Topics**
+ [

## X-Ray 基于身份的策略
](#security_iam_service-with-iam-id-based-policies)
+ [

## X-Ray 基于资源的策略
](#security_iam_service-with-iam-resource-based-policies)
+ [

## 基于 X-Ray 标签的授权
](#security_iam_service-with-iam-tags)
+ [

## 本地运行您的应用程序
](#xray-permissions-local)
+ [

## 在中运行您的应用程序 Amazon
](#xray-permissions-aws)
+ [

## 用户加密权限
](#xray-permissions-encryption)

## X-Ray 基于身份的策略


通过使用 IAM 基于身份的策略，您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。X-Ray 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素，请参阅《IAM 用户指南》** 中的 [IAM JSON 策略元素参考](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements.html)。

### 操作


管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

JSON 策略的 `Action` 元素描述可用于在策略中允许或拒绝访问的操作。在策略中包含操作以授予执行关联操作的权限。

X-Ray 中的策略操作在操作前使用以下前缀：`xray:`。例如，要授予某人使用 X-Ray `GetGroup` API 操作标签组的权限，您应将`xray:GetGroup`操作纳入其策略中。策略语句必须包含 `Action` 或 `NotAction` 元素。X-Ray 定义了一组自己的操作，以描述您可以使用该服务执行的任务。

要在单个语句中指定多项操作，请使用逗号将它们隔开，如下所示：

```
"Action": [
      "xray:action1",
      "xray:action2"
```

您也可以使用通配符 （\$1) 指定多个操作。例如，要指定以单词 `Get` 开头的所有操作，包括以下操作：

```
"Action": "xray:Get*"
```

要查看 X-Ray 操作列表，请参阅 *IAM 用户指南*中的[Amazon X-Ray定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsx-ray.html)。

### 资源


管理员可以使用 Amazon JSON 策略来指定谁有权访问什么。也就是说，哪个**主体**可以对什么**资源**执行**操作**，以及在什么**条件**下执行。

`Resource` JSON 策略元素指定要向其应用操作的一个或多个对象。作为最佳实践，请使用其 [Amazon 资源名称（ARN）](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference-arns.html)指定资源。对于不支持资源级权限的操作，请使用通配符 (\$1) 指示语句应用于所有资源。

```
"Resource": "*"
```

您可以使用 IAM 策略控制对资源的访问。对于支持资源级权限的操作，您可以使用 Amazon 资源名称 (ARN) 标识策略适用的资源。

可以在 IAM 策略中使用所有 X-Ray 操作以授予或拒绝用户使用该操作的权限。但是，并非所有 [X-Ray 操作](https://docs.amazonaws.cn/xray/latest/api/API_Operations.html)都支持资源级权限（这使您能够指定可对其执行操作的资源）。

对于不支持资源级权限的操作，您必须将“`*`”作为资源。

以下 X-Ray 操作支持资源级权限：
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`

下面是 `CreateGroup` 操作基于身份的权限策略的示例：此示例介绍了如何使用与包含唯一 ID 作为通配符的组名称 `local-users` 相关的 ARN。该唯一 ID 在组创建时生成，因此策略中无法前提预测。使用 `GetGroup`、`UpdateGroup` 或 `DeleteGroup` 时，可将此定义为通配符或确切的 ARN（包括 ID）。

**注意**  
采样规则的 ARN 由其名称定义。与组不同 ARNs，采样规则没有唯一生成的 ID。

要查看 X-Ray 资源类型及其列表 ARNs，请参阅 *IAM 用户指南 Amazon X-Ray*中的[定义资源](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsx-ray.html#awsx-ray-resources-for-iam-policies)。要了解您可以在哪些操作中指定每个资源的 ARN，请参阅 [Amazon X-Ray定义的操作](https://docs.amazonaws.cn/IAM/latest/UserGuide/list_awsx-ray.html)。

### 条件键


X-Ray 不提供任何特定于服务的条件键，但支持使用某些全局条件键。要查看所有 Amazon 全局条件键，请参阅 *IAM 用户指南*中的[Amazon 全局条件上下文密钥](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_condition-keys.html)。

### 示例


要查看 X-Ray 基于身份的策略的示例，请参阅 [Amazon X-Ray 基于身份的策略示例](security_iam_id-based-policy-examples.md)。

## X-Ray 基于资源的策略


X-Ray 支持基于资源的策略，用于当前和未来的 Amazon Web Services 服务 集成，例如 [Amazon SNS](https://docs.amazonaws.cn/sns/latest/dg/sns-active-tracing.html) 主动跟踪。基于 X-Ray 资源的策略可以由其他 Amazon Web Services 管理控制台人更新，也可以通过 Amazon SDK 或 CLI 进行更新。例如，Amazon SNS 控制台会尝试自动配置基于资源的策略，将跟踪发送给 X-Ray。以下策略文档提供手动配置 X-Ray 基于资源的策略的示例。

**Example Amazon SNS 主动跟踪的 X-Ray 基于资源的策略示例**  
以下示例策略文档指定了 Amazon SNS 将跟踪数据发送给 X-Ray 所需要的权限：  

```
{
    Version: "2012-10-17",		 	 	 
    Statement: [
      {
        Sid: "SNSAccess",
        Effect: Allow,
        Principal: {
          Service: "sns.amazonaws.com",
        },
        Action: [
          "xray:PutTraceSegments",
          "xray:GetSamplingRules",
          "xray:GetSamplingTargets"
        ],
        Resource: "*",
        Condition: {
          StringEquals: {
            "aws:SourceAccount": "account-id"
          },
          StringLike: {
            "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
          }
        }
      }
    ]
  }
```
使用 CLI 创建基于资源的策略，赋予 Amazon SNS 将跟踪数据发送给 X-Ray 的权限：  

```
aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17",		 	 	  "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'
```
要使用这些示例，请将*`partition`*、*`region`**`account-id`*、和*`topic-name`*替换为您的特定 Amazon 分区、区域、账户 ID 和 Amazon SNS 主题名称。如需赋予所有 Amazon SNS 主题将跟踪数据发送给 X-Ray 的权限，请将主题名称替换为 `*`。

## 基于 X-Ray 标签的授权


您可以将标签附加到 X-Ray 组或采样规则，或在发给 X-Ray 请求中传递标签。要基于标签控制访问，您需要使用 `xray:ResourceTag/key-name``aws:RequestTag/key-name` 或 `aws:TagKeys` 条件键在策略的[条件元素](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_policies_elements_condition.html)中提供标签信息。有关标记 X-Ray 资源的更多信息，请参阅[标记 X-Ray 采样规则和组](xray-tagging.md)。

要查看基于身份的策略（用于根据资源上的标签来限制对该资源的访问）的示例，请参阅 [根据标签管理对 X-Ray 组和采样规则的访问权限](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-manage-sampling-tags)。

## 本地运行您的应用程序


您的已检测应用程序将跟踪数据发送到 X-Ray 进程守护程序。进程守护程序缓存分段文档，并分批将它们上传到 X-Ray 服务。进程守护程序需要写入权限以将跟踪数据和遥测数据上传到 X-Ray 服务。

当[在本地运行进程守护程序](xray-daemon-local.md)时，创建一个 IAM 角色，[担任该角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_use.html)并将临时凭证存储在环境变量中，或用户文件夹中名为 `.aws` 的文件夹中名为 `credentials` 的文件中。请参阅[将 Amazon CLI与临时安全凭证一起使用](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_credentials_temp_use-resources.html#using-temp-creds-sdk-cli)，了解更多信息。

**Example \$1/.aws/credentials**  

```
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={Amazon session token}
```

如果您已经配置了用于 Amazon SDK 或的凭证 Amazon CLI，则守护程序可以使用这些凭据。如果有多个配置文件可用，则该进程守护程序使用默认配置文件。

## 在中运行您的应用程序 Amazon


当您在上运行应用程序时 Amazon，使用角色向运行该守护程序的 Amazon EC2 实例或 Lambda 函数授予权限。
+ **Amazon Elastic Compute Cloud (Amazon EC2)** - 创建一个 IAM 角色并将其作为[实例配置文件](https://docs.amazonaws.cn/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)附加到 EC2 实例。
+ **Amazon Elastic Container Service (Amazon ECS)** - 创建一个 IAM 角色并将其作为[容器实例 IAM 角色](https://docs.amazonaws.cn/AmazonECS/latest/developerguide/instance_IAM_role.html)附加到容器实例。
+ **Amazon Elastic Beanstalk （Elastic Beanstalk**[）— Elastic Beanstalk 在其默认实例配置文件中包含 X-Ray 权限。](https://docs.amazonaws.cn/elasticbeanstalk/latest/dg/concepts-roles.html#concepts-roles-instance)您可以使用该默认实例配置文件，或在自定义实例配置文件中添加写入权限。
+ **Amazon Lambda (Lambda)**-向函数的执行角色添加写入权限。

**如何创建角色来使用 X-Ray**

1. 打开 [IAM 控制台](https://console.amazonaws.cn/iam/home)。

1. 选择**角色**。

1. 选择**创建新角色**。

1. 对于**角色名称**，键入 **xray-application**。选择**下一步**。

1. 对于 **Role Type**，选择 **Amazon EC2**。

1. 附加以下托管策略以向您应用程序授予对 Amazon Web Services 服务的访问权限。
   + **AWSXRayDaemonWriteAccess**— 授予 X-Ray 守护程序上传跟踪数据的权限。

   如果您的应用程序使用 Amazon SDK 访问其他服务，请添加授予对这些服务的访问权限的策略。

1. 选择**下一步**。

1. 请选择**创建角色**。

## 用户加密权限


默认情况下，X-Ray 将加密所有跟踪数据，您可以[将它配置为使用您管理的密钥](xray-console-encryption.md)。如果您选择 Amazon Key Management Service 客户管理的密钥，则需要确保该密钥的访问策略允许您向 X-Ray 授予使用它进行加密的权限。您账户中的其他用户还需要访问该密钥来查看在 X-Ray 控制台中加密的跟踪数据。

对于客户托管密钥，请使用允许以下操作的访问策略配置您的密钥：
+ 在 X-Ray 中配置密钥的用户有权调用 `kms:CreateGrant` 和 `kms:DescribeKey`。
+ 可以访问加密跟踪数据的用户有权调用 `kms:Decrypt`。

当您在 IAM 控制台的密钥配置部分中为**密钥用户**组添加一名用户时，他们同时拥有这两项操作的权限。只需在密钥策略上设置权限，因此您不需要对用户、群组或角色 Amazon KMS 拥有任何权限。有关更多信息，请参阅[《 Amazon KMS 开发人员指南》中的使用密钥策略](https://docs.amazonaws.cn/kms/latest/developerguide/key-policies.html)。

对于默认加密，或者如果您选择 Amazon 托管 CMK (`aws/xray`)，则权限取决于谁有权访问 X-R APIs ay。包含在 `AWSXrayFullAccess` 中的具有对 [https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html](https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html) 的访问权限的任何人都可以更改加密配置。要防止用户更改加密密钥，请勿向这些用户授予使用 [https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html](https://docs.amazonaws.cn/xray/latest/api/API_PutEncryptionConfig.html) 的权限。