本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS X-Ray 以識別為基礎的原則範例
依預設,使用者和角色沒有建立或修改 X-Ray 資源的權限。他們也無法使用 AWS Management Console AWS CLI、或執行工作 AWS API。管理員必須建立IAM政策,授與使用者和角色權限,才能對他們所需的指定資源執行特定API作業。管理員接著必須將這些政策連接至需要這些許可的使用者或群組。
若要瞭解如何使用這些範例原則文件建立以IAM身分識別為基礎的JSON策略,請參閱使用IAM者指南中的JSON標籤上建立策略。
主題
政策最佳實務
以身分識別為基礎的政策會決定某人是否可以建立、存取或刪除您帳戶中的 X-Ray 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
-
開始使用 AWS 受管原則並邁向最低權限權限 — 若要開始將權限授與使用者和工作負載,請使用可授與許多常見使用案例權限的AWS 受管理原則。它們可用在您的 AWS 帳戶. 建議您透過定義特定於您使用案例的 AWS 客戶管理政策,進一步降低使用權限。如需詳細資訊,請參閱AWS 《IAM使用指南》中針對工作職能的AWS 受管理策略或受管理的策略。
-
套用最低權限權限 — 當您使用原則設定權限時,IAM只授與執行工作所需的權限。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為最低權限許可。如需有關使用套用權限IAM的詳細資訊,請參閱《使用指南》IAM中的IAM《策略與權限》。
-
使用IAM策略中的條件進一步限制存取 — 您可以在策略中新增條件,以限制對動作和資源的存取。例如,您可以撰寫政策條件,以指定必須使用傳送所有要求SSL。您也可以使用條件來授與對服務動作的存取權 (如透過特定) 使用這些動作 AWS 服務,例如 AWS CloudFormation。如需詳細資訊,請參閱《IAM使用指南》中的IAMJSON策略元素:條件。
-
使用 IAM Access Analyzer 驗證您的原IAM則,以確保安全和功能性的權限 — IAM Access Analyzer 會驗證新的和現有的原則,以便原則遵循IAM原則語言 (JSON) 和IAM最佳做法。IAMAccess Analyzer 提供超過 100 項原則檢查和可行的建議,協助您撰寫安全且功能正常的原則。如需詳細資訊,請參閱IAM使IAM用指南中的存取分析器原則驗證。
-
需要多因素驗證 (MFA) — 如果您的案例需要使IAM用者或 root 使用者 AWS 帳戶,請開啟以取得額外MFA的安全性。若要在呼叫API作業MFA時需要,請在原則中新增MFA條件。如需詳細資訊,請參閱《IAM使用指南》中的 < 設定MFA受保護的API存取 >。
如需中最佳作法的詳細資訊IAM,請參閱《IAM使用指南》IAM中的「安全性最佳作法」。
使用 X-Ray 控制台
若要存取 AWS X-Ray 主控台,您必須擁有最少一組權限。這些權限必須允許您列出並檢視您的 AWS 帳戶. 如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
若要確保這些實體仍可使用 X-Ray 主控台,請將AWSXRayReadOnlyAccess
AWS 受管理的原則附加至實體。此原則在IAM受管理的 X-Ray 原則中有更詳細的說明。如需詳細資訊,請參閱《使用指南》中的〈將權限新增至IAM使用者〉。
您不需要為只對 AWS CLI 或撥打電話的使用者允許最低主控台權限 AWS API。而是只允許存取與您嘗試執行之API作業相符的動作。
允許使用者檢視他們自己的許可
此範例顯示如何建立原則,讓使IAM用者檢視附加至其使用者身分識別的內嵌和受管理原則。此原則包含在主控台上或以程式設計方式使用或完成此動作的 AWS CLI 權限 AWS API。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "ViewOwnUserInfo", "Effect": "Allow", "Action": [ "iam:GetUserPolicy", "iam:ListGroupsForUser", "iam:ListAttachedUserPolicies", "iam:ListUserPolicies", "iam:GetUser" ], "Resource": ["arn:aws:iam::*:user/${aws:username}"] }, { "Sid": "NavigateInConsole", "Effect": "Allow", "Action": [ "iam:GetGroupPolicy", "iam:GetPolicyVersion", "iam:GetPolicy", "iam:ListAttachedGroupPolicies", "iam:ListGroupPolicies", "iam:ListPolicyVersions", "iam:ListPolicies", "iam:ListUsers" ], "Resource": "*" } ] }
根據標籤管理 X-Ray 群組和取樣規則的存取
您可以使用身分型原則中的條件,根據標記控制對 X-Ray 群組的存取和取樣規則。下列範例原則可用來拒絕使用者角色具有建立、刪除或更新群組的權stage:prod
限stage:preprod
。如需標籤 X-Ray 取樣規則和群組的更多資訊,請參閱〈〉標記 X-Ray 取樣規則和群組。
若要拒絕使用者存取建立、更新或刪除具有標記的群組stage:preprod
,stage:prod
或者,請為使用者指定具有類似下列原則的角色。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyCreateGroupWithStage",
"Effect": "Deny",
"Action": [
"xray:CreateGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stage": [
"preprod",
"prod"
]
}
}
},
{
"Sid": "DenyUpdateGroupWithStage",
"Effect": "Deny",
"Action": [
"xray:UpdateGroup",
"xray:DeleteGroup"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": [
"preprod",
"prod"
]
}
}
}
]
}
若要拒絕建立取樣規則,請使用aws:RequestTag
來指示無法在建立要求中傳遞的標籤。若要拒絕更新或刪除取樣規則,請使aws:ResourceTag
用根據這些資源上的標籤來拒絕動作。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyCreateSamplingRuleWithStage",
"Effect": "Deny",
"Action": "xray:CreateSamplingRule",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/stage": [
"preprod",
"prod"
]
}
}
},
{
"Sid": "DenyUpdateSamplingRuleWithStage",
"Effect": "Deny",
"Action": [
"xray:UpdateSamplingRule",
"xray:DeleteSamplingRule"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/stage": [
"preprod",
"prod"
]
}
}
}
]
}
您可以將這些策略附加到您帳戶中的使用者 (或將其合併到單一策略中,然後附加策略)。若要讓使用者變更群組或取樣規則,群組或取樣規則不得加上標記stage=prepod
或stage=prod
。條件標籤鍵 Stage
符合 Stage
和 stage
,因為條件索引鍵名稱不區分大小寫。如需有關條件區塊的詳細資訊,請參閱《IAM使用者指南》中的《IAMJSON策略元素:條件》。
具有已附加下列策略之角色的使用者無法將標籤新增role:admin
至資源,也無法從與其role:admin
相關聯的資源中移除標籤。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
IAM受管理的 X-Ray 原則
為了簡化授與權限,請IAM支援每個服務的受管理政策。當服務發行新的權限時,可以使用新的權限來更新這些受管理的策略APIs。 AWS X-Ray 針對唯讀、唯寫和管理員使用案例提供受管理的原則。
-
AWSXrayReadOnlyAccess
— 讀取使用 X-Ray 控制台的權限 AWS CLI,或者 AWS SDK從 X-Ray 獲取跟踪數據,跟踪地圖,見解和 X-Ray 配置API。包括可觀察性存取管理員 (OAM)oam:ListSinks
和oam:ListAttachedSinks
權限,可讓主控台檢視從來源帳戶共用的追蹤,作為CloudWatch 跨帳戶觀察性的一部分。BatchGetTraceSummaryById
和動GetDistinctTraceGraphs
API作不打算由您的程式碼呼叫,也不會包含在 AWS CLI 和中 AWS SDKs。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries", "xray:BatchGetTraces", "xray:BatchGetTraceSummaryById", "xray:GetDistinctTraceGraphs", "xray:GetServiceGraph", "xray:GetTraceGraph", "xray:GetTraceSummaries", "xray:GetGroups", "xray:GetGroup", "xray:ListTagsForResource", "xray:ListResourcePolicies", "xray:GetTimeSeriesServiceStatistics", "xray:GetInsightSummaries", "xray:GetInsight", "xray:GetInsightEvents", "xray:GetInsightImpactGraph", "oam:ListSinks" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } }
-
AWSXRayDaemonWriteAccess
— 使用 X-Ray 精靈的寫入權限 AWS CLI,或 AWS SDK將區段文件和遙測上傳至 X-Ray API。包含用於取得抽樣規則及報告抽樣結果的讀取許可。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:PutTraceSegments", "xray:PutTelemetryRecords", "xray:GetSamplingRules", "xray:GetSamplingTargets", "xray:GetSamplingStatisticSummaries" ], "Resource": [ "*" ] } ] }
-
AWSXrayCrossAccountSharingConfiguration
— 授予建立、管理和檢視可觀察性存取管理員連結的權限,以便在帳戶之間共用 X-Ray 資源。用於啟用來源和監視CloudWatch 帳戶之間的跨帳戶觀察能力。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:Link", "oam:ListLinks" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "oam:DeleteLink", "oam:GetLink", "oam:TagResource" ], "Resource": "arn:aws:oam:*:*:link/*" }, { "Effect": "Allow", "Action": [ "oam:CreateLink", "oam:UpdateLink" ], "Resource": [ "arn:aws:oam:*:*:link/*", "arn:aws:oam:*:*:sink/*" ] } ] }
-
AWSXrayFullAccess
— 使用所有 X-Ray 的權限APIs,包括讀取權限,寫入權限以及配置加密密鑰設置和採樣規則的權限。包括可觀察性存取管理員 (OAM)oam:ListSinks
和oam:ListAttachedSinks
權限,可讓主控台檢視從來源帳戶共用的追蹤,作為CloudWatch 跨帳戶觀察性的一部分。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:*", "oam:ListSinks" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "oam:ListAttachedLinks" ], "Resource": "arn:aws:oam:*:*:sink/*" } ] }
將受管理的原則新增至IAM使用者、群組或角色
-
開啟 IAM 主控台
。 -
開啟與您的執行個體設定檔、IAM使用者或IAM群組相關聯的角色。
-
在 Permissions (許可) 下,關聯受管政策。
AWS 受管理政策的 X-Ray 更新
檢視 X-Ray AWS 受管原則更新的詳細資料,因為此服務開始追蹤這些變更。如需有關此頁面變更的自動警示,請訂閱「X-Ray 文件記錄」頁面上的RSS摘要。
變更 | 描述 | 日期 |
---|---|---|
IAM受管理的 X-Ray 策略 — 新增了新的 |
X-Ray 新增了可觀測性存取管理員 (OAM) 權限 |
2022 年 11 月 27 日 |
IAM受管理的 X-Ray 原則 — 更新 |
X-Ray 添加了一個API動作, |
2022 年 11 月 15 日 |
使用 X-Ray 主控台 — 更新至 |
X-Ray 添加了兩個新API動作, 您的程式碼不會呼叫這些動作。因此,這些API動作不包括在 AWS CLI 和中 AWS SDKs。 |
2022 年 11 月 11 日 |
指定IAM策略內的資源
您可以使用IAM策略來控制對資源的存取。對於支援資源層級許可的動作,您可以使用 Amazon 資源名稱 (ARN) 來識別適用政策的資源。
所有 X-Ray 動作都可以在IAM策略中使用,授與或拒絕使用者使用該動作的權限。不過,並非所有 X-Ray 動作都支援資源層級權限,這可讓您指定可以執行動作的資源。
對於不支援資源層級許可的動作,您必須使用 "*
" 做為資源。
下列 X-Ray 動作支援資源層級權限:
-
CreateGroup
-
GetGroup
-
UpdateGroup
-
DeleteGroup
-
CreateSamplingRule
-
UpdateSamplingRule
-
DeleteSamplingRule
以下是 CreateGroup
動作的身分型許可政策範例。此範例顯示使用local-users
與群組名稱ARN相關的唯一 ID 作為萬用字元。群組建立時產生的唯一 ID,所以無法在政策中事先預測。使用GetGroup
、或時 UpdateGroup
DeleteGroup
,您可以將其定義為萬用字元或完全相同ARN,包括 ID。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateGroup" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:group/local-users/*" ] } ] }
以下是 CreateSamplingRule
動作的身分型許可政策範例。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "xray:CreateSamplingRule" ], "Resource": [ "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep" ] } ] }
注意
取樣規則的名稱定義。ARN與組不同ARNs,採樣規則沒有唯一生成的 ID。