全部產品
Search
文件中心

Simple Log Service:配置訪問憑證

更新時間:Nov 01, 2024

使用Python SDK發起請求訪問Log Service,您需要配置訪問憑證。阿里雲服務會通過訪問憑證驗證您的身份資訊和存取權限。您可以根據使用情境對認證和授權的要求,配置不同類型的訪問憑證。

訪問憑證

訪問憑證選型

憑據是指使用者證明其身份的一組資訊。使用者在系統中進行登入時,需要提供正確的憑據才能驗證身份。常見的憑據類型有:

  • 臨時訪問憑證:

    • 安全性權杖(STS Token)是阿里雲提供給RAM角色的臨時訪問憑據,可以自訂時效和存取權限。更多資訊,請參見什麼是STS

    • 對於需要高安全性的情境,建議使用臨時訪問憑證。臨時訪問憑證可以限制訪問的有效期間,從而減少訪問憑證泄露的風險。此外,臨時訪問憑證支援許可權控制,可以有效地避免許可權過大的問題。

  • 長期訪問憑證:

    • 阿里雲主帳號和RAM使用者的永久憑據 AccessKey(簡稱AK)是由AccessKey ID和AccessKey Secret組成的金鑰組。AK的概念和建立步驟,請參見建立AccessKey

    • 出於安全性考慮,不建議您使用長期訪問憑證。對於需要便利性的情境,長期訪問憑證可以在較長時間內免除多次重新整理的麻煩。

      重要
      • 建議每三個月輪換一次長期訪問憑證,以提高帳號的安全性。輪換憑證的步驟,請參見輪轉RAM使用者的AccessKey

      • 當長期訪問憑證泄露或者不再使用時,應該及時刪除或者禁用相關的訪問憑證,以免造成安全風險。刪除憑證的步驟,請參見刪除RAM使用者的AccessKey

臨時訪問憑證

當您準備臨時使用SDK訪問Log Service時,您可以通過STS服務頒發一個STS臨時訪問憑證,臨時訪問憑證無需透露您的RAM使用者密鑰。

  1. 建立RAM使用者。該RAM使用者會扮演RAM角色,從而訪問Log Service的資源。

  2. 為RAM使用者授予系統權限原則(AliyunSTSAssumeRoleAccess),該許可權用於扮演RAM角色。授權的操作步驟,請參見為RAM角色授權

  3. 建立可信實體為阿里雲帳號的RAM角色

  4. 為RAM角色授予對Log Service資源的存取權限。具體操作,請參見為RAM角色授權Log Service自訂權限原則參考

  5. 使用RAM使用者調用AssumeRole(扮演RAM角色),擷取STS臨時訪問憑證Credentials(包括SecurityToken、AccessKeySecret、AccessKeyId)。

  6. 使用臨時訪問憑證Credentials(SecurityToken、AccessKeySecret、AccessKeyId)初始化SDK,從而訪問Log Service。具體操作,請參見STS Python SDK調用樣本

長期訪問憑證

如果您的應用程式部署運行在安全、穩定且不易受外部攻擊的環境中,並且需要長期使用SDK訪問您的Log Service,您可以使用RAM使用者的AK(AccessKey ID、AccessKey Secret)的方式訪問。如何擷取RAM使用者的AK,請參見建立AccessKey

警告
  • 阿里雲主帳號擁有資源的全部許可權,如果主帳號的AK泄露,會給系統帶來巨大風險,不建議使用。推薦使用最小化授權的RAM使用者的AK。

  • 強烈建議不要把AccessKey ID和AccessKey Secret儲存到工程代碼裡,否則可能導致AccessKey泄露,威脅您帳號下所有資源的安全。

  1. 建立RAM使用者

  2. 為RAM使用者授予對Log Service資源的存取權限。授權的操作步驟,請參見為RAM使用者授權。常見的Log Service資源的存取權限,請參見Log Service自訂權限原則參考

  3. 在Linux、macOS和Windows系統配置環境變數

相關文檔

使用訪問憑證等參數初始化LogClient後,才能調用介面,初始化LogClient的步驟請參見初始化Log ServicePython SDK