AWS X-Ray 如何与 IAM 协同工作 - AWS X-Ray
X-Ray 基于身份的策略X-Ray 基于资源的策略基于 X-Ray 标签的授权本地运行您的应用程序在 AWS 中运行应用程序用户加密权限

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

AWS X-Ray 如何与 IAM 协同工作

在使用 IAM 管理对 X-Ray 的访问之前,您应了解哪些 IAM 功能可与 X-Ray 结合使用。要大致了解 X-Ray 和其他 AWS 服务 如何与 IAM 一起使用,请参阅《IAM 用户指南》中的与 IAM 一起使用的 AWS 服务

您可以使用 AWS Identity and Access Management (IAM) 将 X-Ray 权限授予您账户下的用户和计算资源。IAM 在 API 层面控制对 X-Ray 服务的访问,以统一实施权限,无论您的用户使用什么客户端(控制台、AWS SDK、AWS CLI)。

使用 X-Ray 控制台查看跟踪地图和分段,只需具有读取权限即可。要启用控制台访问,请向您的 IAM 用户添加 AWSXrayReadOnlyAccess 托管策略

要进行本地开发和测试,请创建一个具有读取和写入权限的 IAM 角色。担任该角色并存储该角色的临时凭证。您可以将这些凭证用于 X-Ray 进程守护程序、AWS CLI 和 AWS SDK。请参阅将 AWS CLI 与临时安全凭证一起使用,了解更多信息。

将已检测的应用程序部署到 AWS,请创建一个具有写入权限的 IAM 角色,并将它分配给运行您的应用程序的资源。AWSXRayDaemonWriteAccess 包含上传跟踪的权限、一些读取权限以及支持使用采样规则的权限。

读写策略不包含配置加密密钥设置和采样规则的权限。使用 AWSXrayFullAccess 访问这些设置,或在自定义策略中添加配置 API。要使用您创建的客户托管密钥进行加密和解密,您还需要使用该密钥的权限

X-Ray 基于身份的策略

通过使用 IAM 基于身份的策略,您可以指定允许或拒绝的操作和资源以及允许或拒绝操作的条件。X-Ray 支持特定的操作、资源和条件键。要了解在 JSON 策略中使用的所有元素,请参阅《IAM 用户指南》 中的 IAM JSON 策略元素参考

操作

管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

JSON 策略的 Action 元素描述可用于在策略中允许或拒绝访问的操作。策略操作通常与关联的 AWS API 操作同名。有一些例外情况,例如没有匹配 API 操作的仅限权限 操作。还有一些操作需要在策略中执行多个操作。这些附加操作称为相关操作

在策略中包含操作以授予执行关联操作的权限。

X-Ray 中的策略操作在操作前使用以下前缀:xray:。例如,要授予某人使用 X-Ray GetGroup API 操作标签组的权限,您应将xray:GetGroup操作纳入其策略中。策略语句必须包含 ActionNotAction 元素。X-Ray 定义了一组自己的操作,以描述您可以使用该服务执行的任务。

要在单个语句中指定多项操作,请使用逗号将它们隔开,如下所示:

"Action": [
      "xray:action1",
      "xray:action2"

您也可以使用通配符 (*) 指定多个操作。例如,要指定以单词 Get 开头的所有操作,包括以下操作:

"Action": "xray:Get*"

要查看 X-Ray 操作列表,请参阅 IAM 用户指南中的AWS X-Ray 定义的操作

资源

管理员可以使用 AWS JSON 策略来指定谁有权访问什么内容。也就是说,哪个主体可以对什么资源执行操作,以及在什么条件下执行。

Resource JSON 策略元素指定要向其应用操作的一个或多个对象。语句必须包含 ResourceNotResource 元素。作为最佳实践,请使用其 Amazon 资源名称(ARN)指定资源。对于支持特定资源类型(称为资源级权限)的操作,您可以执行此操作。

对于不支持资源级权限的操作(如列出操作),请使用通配符 (*) 指示语句应用于所有资源。

"Resource": "*"

您可以使用 IAM 策略控制对资源的访问。对于支持资源级权限的操作,您可以使用 Amazon 资源名称(ARN)标识策略适用的资源。

可以在 IAM 策略中使用所有 X-Ray 操作以授予或拒绝用户使用该操作的权限。但是,并非所有 X-Ray 操作都支持资源级权限(这使您能够指定可对其执行操作的资源)。

对于不支持资源级权限的操作,您必须将“*”作为资源。

以下 X-Ray 操作支持资源级权限:

  • CreateGroup

  • GetGroup

  • UpdateGroup

  • DeleteGroup

  • CreateSamplingRule

  • UpdateSamplingRule

  • DeleteSamplingRule

下面是 CreateGroup 操作基于身份的权限策略的示例:此示例介绍了如何使用与包含唯一 ID 作为通配符的组名称 local-users 相关的 ARN。该唯一 ID 在组创建时生成,因此策略中无法前提预测。使用 GetGroupUpdateGroupDeleteGroup 时,可将此定义为通配符或确切的 ARN(包括 ID)。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateGroup"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
            ]
        }
    ]
}

下面是 CreateSamplingRule 操作基于身份的权限策略的示例:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "xray:CreateSamplingRule"
            ],
            "Resource": [
                "arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
            ]
        }
    ]
}
注意

采样规则的 ARN 由其名称定义。与组 ARN 不同,采样规则没有唯一生成的 ID。

要查看 X-Ray 资源类型及其 ARN 的列表,请参阅 IAM 用户指南中的 AWS X-Ray 定义的资源。要了解您可以在哪些操作中指定每个资源的 ARN,请参阅 AWS X-Ray 定义的操作

条件键

X-Ray 不提供任何特定于服务的条件键,但支持使用某些全局条件键。要查看所有 AWS 全局条件键,请参阅《IAM 用户指南》中的 AWS 全局条件上下文键

示例

要查看 X-Ray 基于身份的策略的示例,请参阅 AWS X-Ray 基于身份的策略示例

X-Ray 基于资源的策略

X-Ray 支持当前和未来的 AWS 服务 集成使用基于资源的资源,例如 Amazon SNS 活动跟踪。其他 AWS Management Console 或通过 AWS SDK 或 CLI 可以更新 X-Ray 基于资源的策略。例如,Amazon SNS 控制台会尝试自动配置基于资源的策略,将跟踪发送给 X-Ray。以下策略文档提供手动配置 X-Ray 基于资源的策略的示例。

例 Amazon SNS 活动跟踪的 X-Ray 基于资源的策略示例

以下示例策略文档指定了 Amazon SNS 将跟踪数据发送给 X-Ray 所需要的权限:

{
    Version: "2012-10-17",
    Statement: [
      {
        Sid: "SNSAccess",
        Effect: Allow,
        Principal: {
          Service: "sns.amazonaws.com",
        },
        Action: [
          "xray:PutTraceSegments",
          "xray:GetSamplingRules",
          "xray:GetSamplingTargets"
        ],
        Resource: "*",
        Condition: {
          StringEquals: {
            "aws:SourceAccount": "account-id"
          },
          StringLike: {
            "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name"
          }
        }
      }
    ]
  }

使用 CLI 创建基于资源的策略,赋予 Amazon SNS 将跟踪数据发送给 X-Ray 的权限:

aws xray put-resource-policy --policy-name MyResourcePolicy --policy-document '{ "Version": "2012-10-17", "Statement": [ { "Sid": "SNSAccess", "Effect": "Allow", "Principal": { "Service": "sns.amazonaws.com" }, "Action": [ "xray:PutTraceSegments", "xray:GetSamplingRules", "xray:GetSamplingTargets" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" }, "StringLike": { "aws:SourceArn": "arn:partition:sns:region:account-id:topic-name" } } } ] }'

如需使用这些示例,请将 partitionregionaccount-idtopic-name 替换为具体的 AWS 分区、区域、账户 ID 和 Amazon SNS 主题名称。如需赋予所有 Amazon SNS 主题将跟踪数据发送给 X-Ray 的权限,请将主题名称替换为 *

基于 X-Ray 标签的授权

您可以将标签附加到 X-Ray 组或采样规则,或在发给 X-Ray 请求中传递标签。要基于标签控制访问,您需要使用 xray:ResourceTag/key-nameaws:RequestTag/key-nameaws:TagKeys 条件键在策略的条件元素中提供标签信息。有关标记 X-Ray 资源的更多信息,请参阅标记 X-Ray 采样规则和组

要查看基于身份的策略(用于根据资源上的标签来限制对该资源的访问)的示例,请参阅根据标签管理对 X-Ray 组和采样规则的访问权限

本地运行您的应用程序

您的已检测应用程序将跟踪数据发送到 X-Ray 进程守护程序。进程守护程序缓存分段文档,并分批将它们上传到 X-Ray 服务。进程守护程序需要写入权限以将跟踪数据和遥测数据上传到 X-Ray 服务。

在本地运行进程守护程序时,创建一个 IAM 角色,担任该角色并将临时凭证存储在环境变量中,或用户文件夹中名为 .aws 的文件夹中名为 credentials 的文件中。请参阅将 AWS CLI 与临时安全凭证一起使用,了解更多信息。

例 ~/.aws/credentials
[default]
aws_access_key_id={access key ID}
aws_secret_access_key={access key}
aws_session_token={AWS session token}

如果您已经配置凭证以用于 AWS SDK 或 AWS CLI,则该进程守护程序可以使用这些凭证。如果有多个配置文件可用,则该进程守护程序使用默认配置文件。

在 AWS 中运行应用程序

当您在 AWS 上运行应用程序时,可使用角色向运行进程守护程序的 Amazon EC2 实例或 Lambda 函数授予权限。

  • Amazon Elastic Compute Cloud (Amazon EC2) - 创建一个 IAM 角色并将其作为实例配置文件附加到 EC2 实例。

  • Amazon Elastic Container Service (Amazon ECS) - 创建一个 IAM 角色并将其作为容器实例 IAM 角色附加到容器实例。

  • AWS Elastic Beanstalk (Elastic Beanstalk) - Elastic Beanstalk 的默认实例配置文件中包含 X-Ray 权限 您可以使用该默认实例配置文件,或在自定义实例配置文件中添加写入权限。

  • AWS Lambda (Lambda) - 为您函数的执行角色添加写入权限。

如何创建角色来使用 X-Ray

  1. 打开 IAM 控制台

  2. 选择角色

  3. 选择创建新角色

  4. 对于角色名称,键入 xray-application。选择下一步

  5. 对于 Role Type,选择 Amazon EC2

  6. 附加以下托管策略以向您应用程序授予对 AWS 服务 的访问权限。

    • AWSXRayDaemonWriteAccess – 赋予 X-Ray 进程守护程序上传跟踪数据的权限。

    如果应用程序使用 AWS SDK 访问其他服务,请添加向这些服务授予访问权限的策略。

  7. 选择下一步

  8. 请选择创建角色

用户加密权限

默认情况下,X-Ray 将加密所有跟踪数据,您可以将它配置为使用您管理的密钥。如果您选择了一个 AWS Key Management Service 客户托管密钥,则需要确保该密钥的访问策略允许您为 X-Ray 授予使用该密钥进行加密的权限。您账户中的其他用户还需要访问该密钥来查看在 X-Ray 控制台中加密的跟踪数据。

对于客户托管密钥,请使用允许以下操作的访问策略配置您的密钥:

  • 在 X-Ray 中配置密钥的用户有权调用 kms:CreateGrantkms:DescribeKey

  • 可以访问加密跟踪数据的用户有权调用 kms:Decrypt

当您在 IAM 控制台的密钥配置部分中为密钥用户组添加一名用户时,他们同时拥有这两项操作的权限。仅需要针对密钥策略设置权限,因此您不需要针对 用户、组或角色的任何 AWS KMS 权限。有关更多信息,请参阅《AWS KMS 开发人员指南》中的使用密钥策略

要进行默认加密,或者如果您选择了 AWS 托管 CMK (aws/xray),权限将基于有权访问 X-Ray API 的人员。包含在 AWSXrayFullAccess 中的具有对 PutEncryptionConfig 的访问权限的任何人都可以更改加密配置。要防止用户更改加密密钥,请勿向这些用户授予使用 PutEncryptionConfig 的权限。