本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS X-Ray 身分型政策範例
根據預設,使用者和角色沒有建立或修改 X-Ray 資源的許可。他們也無法使用 AWS 管理主控台 AWS CLI或 AWS API 執行任務。管理員必須建立 IAM 政策,授與使用者和角色在指定資源上執行特定 API 操作所需的許可。管理員接著必須將這些政策連接至需要這些許可的使用者或群組。
若要了解如何使用這些範例 JSON 政策文件建立 IAM 身分型政策,請參閱 *IAM 使用者指南*中的[在 JSON 索引標籤上建立政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor)。
**Topics**
+ [政策最佳實務](#security_iam_service-with-iam-policy-best-practices)
+ [使用 X-Ray 主控台](#security_iam_id-based-policy-examples-console)
+ [允許使用者檢視他們自己的許可](#security_iam_id-based-policy-examples-view-own-permissions)
+ [根據標籤管理對 X-Ray 群組和抽樣規則的存取](#security_iam_id-based-policy-examples-manage-sampling-tags)
+ [X-Ray 的 IAM 受管政策](#xray-permissions-managedpolicies)
+ [AWS 受管政策的 X-Ray 更新](#xray-permissions-managedpolicies-history)
+ [在 IAM 政策中指定資源](#xray-permissions-resources)
## 政策最佳實務
身分型政策會判斷您帳戶中的某個人員是否可以建立、存取或刪除 X-Ray 資源。這些動作可能會讓您的 AWS 帳戶產生費用。當您建立或編輯身分型政策時,請遵循下列準則及建議事項:
+ **開始使用 AWS 受管政策並邁向最低權限許可** – 若要開始將許可授予您的使用者和工作負載,請使用將許可授予許多常見使用案例的 *AWS 受管政策*。它們可在您的 中使用 AWS 帳戶。我們建議您定義特定於使用案例 AWS 的客戶受管政策,以進一步減少許可。如需更多資訊,請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)或[任務職能的AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)。
+ **套用最低權限許可** – 設定 IAM 政策的許可時,請僅授予執行任務所需的許可。為實現此目的,您可以定義在特定條件下可以對特定資源採取的動作,這也稱為*最低權限許可*。如需使用 IAM 套用許可的更多相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 中的政策和許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)。
+ **使用 IAM 政策中的條件進一步限制存取權** – 您可以將條件新增至政策,以限制動作和資源的存取。例如,您可以撰寫政策條件,指定必須使用 SSL 傳送所有請求。如果透過特定 例如 使用服務動作 AWS 服務,您也可以使用條件來授予其存取權 CloudFormation。如需詳細資訊,請參閱《*IAM 使用者指南*》中的 [IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。
+ **使用 IAM Access Analyzer 驗證 IAM 政策,確保許可安全且可正常運作** – IAM Access Analyzer 驗證新政策和現有政策,確保這些政策遵從 IAM 政策語言 (JSON) 和 IAM 最佳實務。IAM Access Analyzer 提供 100 多項政策檢查及切實可行的建議,可協助您撰寫安全且實用的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[使用 IAM Access Analyzer 驗證政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html)。
+ **需要多重要素驗證 (MFA)** – 如果您的案例需要 IAM 使用者或 中的根使用者 AWS 帳戶,請開啟 MFA 以提高安全性。如需在呼叫 API 操作時請求 MFA,請將 MFA 條件新增至您的政策。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[透過 MFA 的安全 API 存取](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html)。
如需 IAM 中最佳實務的相關資訊,請參閱《*IAM 使用者指南*》中的 [IAM 安全最佳實務](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)。
## 使用 X-Ray 主控台
若要存取 AWS X-Ray 主控台,您必須擁有一組最低許可。這些許可必須允許您列出和檢視 中 X-Ray 資源的詳細資訊 AWS 帳戶。如果您建立比最基本必要許可更嚴格的身分型政策,則對於具有該政策的實體 (使用者或角色) 而言,主控台就無法如預期運作。
為了確保這些實體仍然可以使用 X-Ray 主控台,請將 `AWSXRayReadOnlyAccess` AWS 受管政策連接到實體。此政策會在 [X-Ray 的 IAM 受管政策](#xray-permissions-managedpolicies)中詳細說明。如需詳細資訊,請參閱《IAM 使用者指南》**中的[新增許可到使用者](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)。
對於僅呼叫 AWS CLI 或 AWS API 的使用者,您不需要允許最低主控台許可。反之,只需允許存取符合您嘗試執行之 API 操作的動作就可以了。
## 允許使用者檢視他們自己的許可
此範例會示範如何建立政策,允許 IAM 使用者檢視附加到他們使用者身分的內嵌及受管政策。此政策包含在主控台或使用 或 AWS CLI AWS API 以程式設計方式完成此動作的許可。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## 根據標籤管理對 X-Ray 群組和抽樣規則的存取
您可以在身分型政策中使用條件,根據標籤控制對 X-Ray 群組和抽樣規則的存取。下列範例政策可用來拒絕使用者角色使用標籤或 建立、刪除`stage:prod`或更新群組的許可`stage:preprod`。如需標記 X-Ray 取樣規則和群組的詳細資訊,請參閱 [標記 X-Ray 取樣規則和群組](xray-tagging.md)。
若要拒絕建立抽樣規則,請使用 `aws:RequestTag` 來指示無法在建立請求中傳遞的標籤。若要拒絕更新或刪除抽樣規則,請使用 根據這些資源上的標籤`aws:ResourceTag`拒絕動作。
您可以將這些政策 (或將其合併為單一政策,然後連接政策) 連接到您帳戶中的使用者。若要讓使用者變更群組或取樣規則,群組或取樣規則不得加上標籤 `stage=prepod`或 `stage=prod`。條件標籤鍵 `Stage` 符合 `Stage` 和 `stage`,因為條件索引鍵名稱不區分大小寫。如需 條件區塊的詳細資訊,請參閱《[IAM 使用者指南》中的 IAM JSON 政策元素:條件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)。 **
具有下列政策連接之角色的使用者無法將標籤新增至`role:admin`資源,也無法從與其`role:admin`相關聯的資源中移除標籤。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowAllXRay",
"Effect": "Allow",
"Action": "xray:*",
"Resource": "*"
},
{
"Sid": "DenyRequestTagAdmin",
"Effect": "Deny",
"Action": "xray:TagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:RequestTag/role": "admin"
}
}
},
{
"Sid": "DenyResourceTagAdmin",
"Effect": "Deny",
"Action": "xray:UntagResource",
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/role": "admin"
}
}
}
]
}
```
------
## X-Ray 的 IAM 受管政策
為了簡化授予許可,IAM 支援每個服務的**受管政策**。服務可以在發行新的 APIs 時,以新的許可更新這些受管政策。 為唯讀、唯讀和管理員使用案例 AWS X-Ray 提供受管政策。
+ `AWSXrayReadOnlyAccess` – 使用 X-Ray 主控台 AWS CLI或 AWS SDK 從 X-Ray API 取得追蹤資料、追蹤映射、洞見和 X-Ray 組態的讀取許可。包括可觀測性存取管理員 (OAM) `oam:ListSinks`和`oam:ListAttachedSinks`許可,以允許主控台檢視來源帳戶共用的[追蹤,作為 CloudWatch 跨帳戶可觀測性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)的一部分。`BatchGetTraceSummaryById` 和 `GetDistinctTraceGraphs` API 動作並非由您的程式碼呼叫,也不包含在 AWS CLI 和 AWS SDKs中。
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries",
"xray:BatchGetTraces",
"xray:BatchGetTraceSummaryById",
"xray:GetDistinctTraceGraphs",
"xray:GetServiceGraph",
"xray:GetTraceGraph",
"xray:GetTraceSummaries",
"xray:GetGroups",
"xray:GetGroup",
"xray:ListTagsForResource",
"xray:ListResourcePolicies",
"xray:GetTimeSeriesServiceStatistics",
"xray:GetInsightSummaries",
"xray:GetInsight",
"xray:GetInsightEvents",
"xray:GetInsightImpactGraph",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
}
```
+ `AWSXRayDaemonWriteAccess` – 使用 X-Ray 協助程式 AWS CLI或 AWS SDK 將區段文件和遙測上傳到 X-Ray API 的寫入許可。包含用於取得[抽樣規則](xray-console-sampling.md)及報告抽樣結果的讀取許可。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:PutTraceSegments",
"xray:PutTelemetryRecords",
"xray:GetSamplingRules",
"xray:GetSamplingTargets",
"xray:GetSamplingStatisticSummaries"
],
"Resource": [
"*"
]
}
]
}
```
------
+ `AWSXrayCrossAccountSharingConfiguration` – 准許建立、管理和檢視可觀測性存取管理員連結,以在帳戶之間共用 X-Ray 資源。用來啟用來源和監控[帳戶之間的 CloudWatch 跨帳戶可觀測性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:Link",
"oam:ListLinks"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"oam:DeleteLink",
"oam:GetLink",
"oam:TagResource"
],
"Resource": "arn:aws:oam:*:*:link/*"
},
{
"Effect": "Allow",
"Action": [
"oam:CreateLink",
"oam:UpdateLink"
],
"Resource": [
"arn:aws:oam:*:*:link/*",
"arn:aws:oam:*:*:sink/*"
]
}
]
}
```
------
+ `AWSXrayFullAccess` – 使用所有 X-Ray APIs許可,包括讀取許可、寫入許可,以及設定加密金鑰設定和取樣規則的許可。包括可觀測性存取管理員 (OAM) `oam:ListSinks`和`oam:ListAttachedSinks`許可,以允許主控台檢視來源帳戶共用的[追蹤,作為 CloudWatch 跨帳戶可觀測性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)的一部分。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:*",
"oam:ListSinks"
],
"Resource": [
"*"
]
},
{
"Effect": "Allow",
"Action": [
"oam:ListAttachedLinks"
],
"Resource": "arn:aws:oam:*:*:sink/*"
}
]
}
```
------
**新增受管政策連接到 IAM 使用者、群組或角色**
1. 開啟 [IAM 主控台](https://console.aws.amazon.com/iam/home)。
1. 開啟與您的執行個體描述檔、IAM 使用者或 IAM 群組關聯的角色。
1. 在 **Permissions (許可)** 下,關聯受管政策。
## AWS 受管政策的 X-Ray 更新
檢視自此服務開始追蹤這些變更以來,X-Ray AWS 受管政策更新的詳細資訊。如需此頁面變更的自動提醒,請訂閱 X-Ray [文件歷史記錄](document-history.md)頁面上的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 適用於 [X-Ray 的 IAM 受管政策](#xray-permissions-managedpolicies) – 新增了 `AWSXrayCrossAccountSharingConfiguration`,並更新了 `AWSXrayReadOnlyAccess` 和 `AWSXrayFullAccess`政策。 | X-Ray 已將可觀測性存取管理員 (OAM) 許可`oam:ListSinks`和 `oam:ListAttachedSinks` 新增至這些政策,以允許主控台檢視來源帳戶共用的[追蹤,做為 CloudWatch 跨帳戶可觀測性](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch-Unified-Cross-Account.html)的一部分。 | 2022 年 11 月 27 日 |
| [X-Ray 的 IAM 受管政策](#xray-permissions-managedpolicies) – `AWSXrayReadOnlyAccess`政策的更新。 | X-Ray 新增了 API 動作 `ListResourcePolicies`。 | 2022 年 11 月 15 日 |
| [使用 X-Ray 主控台](#security_iam_id-based-policy-examples-console) – 更新至`AWSXrayReadOnlyAccess`政策 | X-Ray 新增了兩個新的 API 動作,`BatchGetTraceSummaryById`以及 `GetDistinctTraceGraphs`。 這些動作不適用於由您的程式碼呼叫。因此,這些 API 動作不包含在 AWS CLI 和 AWS SDKs中。 | 2022 年 11 月 11 日 |
## 在 IAM 政策中指定資源
您可以使用 IAM 政策來控制對 資源的存取。針對支援資源層級許可的動作,您可以使用 Amazon Resource Name (ARN) 來識別要套用政策的資源。
所有 X-Ray 動作都可以在 IAM 政策中使用,以授予或拒絕使用者使用該動作的許可。不過,並非所有 [X-Ray 動作](https://docs.aws.amazon.com/xray/latest/api/API_Operations.html)都支援資源層級許可,這可讓您指定可執行動作的資源。
對於不支援資源層級許可的動作,您必須使用 "`*`" 做為資源。
下列 X-Ray 動作支援資源層級許可:
+ `CreateGroup`
+ `GetGroup`
+ `UpdateGroup`
+ `DeleteGroup`
+ `CreateSamplingRule`
+ `UpdateSamplingRule`
+ `DeleteSamplingRule`
以下是 `CreateGroup` 動作的身分型許可政策範例。此範例示範使用與有唯一 ID 之群組名稱 `local-users` 有關的 ARN 做為萬用字元。群組建立時產生的唯一 ID,所以無法在政策中事先預測。使用 `GetGroup`、`UpdateGroup` 或 `DeleteGroup` 時,您可以將此定義為萬用字元或確切的 ARN,包括 ID。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateGroup"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:group/local-users/*"
]
}
]
}
```
------
以下是 `CreateSamplingRule` 動作的身分型許可政策範例。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"xray:CreateSamplingRule"
],
"Resource": [
"arn:aws:xray:eu-west-1:123456789012:sampling-rule/base-scorekeep"
]
}
]
}
```
------
**注意**
依其名稱定義之取樣規則的 ARN。不像群組 ARN,取樣規則沒有唯一產生的 ID。