使用Java SDK發起請求訪問Log Service,您需要配置訪問憑證。阿里雲服務會通過訪問憑證驗證您的身份資訊和存取權限。您可以根據使用情境對認證和授權的要求,配置不同類型的訪問憑證。
訪問憑證
訪問憑證選型
憑據是指使用者證明其身份的一組資訊。使用者在系統中進行登入時,需要提供正確的憑據才能驗證身份。常見的憑據類型有:
臨時訪問憑證:
安全性權杖(STS Token)是阿里雲提供給RAM角色的臨時訪問憑據,可以自訂時效和存取權限。更多資訊,請參見什麼是STS。
對於需要高安全性的情境,建議使用臨時訪問憑證。臨時訪問憑證可以限制訪問的有效期間,從而減少訪問憑證泄露的風險。此外,臨時訪問憑證支援許可權控制,可以有效地避免許可權過大的問題。
長期訪問憑證:
阿里雲主帳號和RAM使用者的永久憑據 AccessKey(簡稱AK)是由AccessKey ID和AccessKey Secret組成的金鑰組。AK的概念和建立步驟,請參見建立AccessKey。
出於安全性考慮,不建議您使用長期訪問憑證。對於需要便利性的情境,長期訪問憑證可以在較長時間內免除多次重新整理的麻煩。
重要建議每三個月輪換一次長期訪問憑證,以提高帳號的安全性。輪換憑證的步驟,請參見輪轉RAM使用者的AccessKey。
當長期訪問憑證泄露或者不再使用時,應該及時刪除或者禁用相關的訪問憑證,以免造成安全風險。刪除憑證的步驟,請參見刪除RAM使用者的AccessKey。
臨時訪問憑證
當您準備臨時使用SDK訪問Log Service時,您可以通過STS服務頒發一個STS臨時訪問憑證,臨時訪問憑證無需透露您的RAM使用者密鑰。
建立RAM使用者。該RAM使用者會扮演RAM角色,從而訪問Log Service的資源。
為RAM使用者授予系統權限原則(
AliyunSTSAssumeRoleAccess
),該許可權用於扮演RAM角色。授權的操作步驟,請參見為RAM角色授權。為RAM角色授予對Log Service資源的存取權限。具體操作,請參見為RAM角色授權和Log Service自訂權限原則參考。
使用RAM使用者調用AssumeRole(扮演RAM角色),擷取STS臨時訪問憑證Credentials(包括SecurityToken、AccessKeySecret、AccessKeyId)。
使用臨時訪問憑證Credentials(SecurityToken、AccessKeySecret、AccessKeyId)初始化SDK,從而訪問Log Service。具體操作,請參見STS Python SDK調用樣本。
長期訪問憑證
如果您的應用程式部署運行在安全、穩定且不易受外部攻擊的環境中,並且需要長期使用SDK訪問您的Log Service,您可以使用RAM使用者的AK(AccessKey ID、AccessKey Secret)的方式訪問。如何擷取RAM使用者的AK,請參見建立AccessKey。
阿里雲主帳號擁有資源的全部許可權,如果主帳號的AK泄露,會給系統帶來巨大風險,不建議使用。推薦使用最小化授權的RAM使用者的AK。
強烈建議不要把AccessKey ID和AccessKey Secret儲存到工程代碼裡,否則可能導致AccessKey泄露,威脅您帳號下所有資源的安全。
為RAM使用者授予對Log Service資源的存取權限。授權的操作步驟,請參見為RAM使用者授權。常見的Log Service資源的存取權限,請參見Log Service自訂權限原則參考。
相關文檔
使用訪問憑證等參數初始化Client後,才能調用介面,初始化LogClient的步驟請參見初始化Log ServiceJava SDK。