操作场景
当您创建投递到 COS/Ckafka 的任务时,因为涉及云产品之间的访问,需要您授权日志服务(Cloud Log Service,CLS)服务角色访问 COS/CKafka 的权限。大部分用户通过控制台操作,系统会引导用户完成授权,小部分用户会直接使用 API,这时候需要手动去授权。手动授权之前,可以先通过以下步骤检查是否已经完成了对 CLS 服务角色的授权。
检查是否已经授权 CLS
1. 登录 访问管理控制台,单击左侧导航栏中的角色。
2. 在角色页面中,查看是否存在 
CLS_QcsRole 角色。可通过列表右上角的搜索框进行搜索,如下图所示:
3. 单击角色名称,进入角色详情页。
选择权限,查看是否已具备 
QcloudCOSAccessForCLSRole 及 QcloudCKAFKAAccessForCLSRole 权限。如下图所示:
选择角色载体,查看角色载体是否为 
cls.cloud.tencent.com。如下图所示:
操作步骤
授权 CLS 访问权限
您可通过以下方式授权CLS投递 COS/Ckafka 权限:
您在第一次通过控制台创建投递到 COS/Ckafka 的任务时,请根据页面指引创建角色和策略:
1. 在弹出的该功能需创建服务角色窗口中,单击前往访问管理,如下图所示:
2. 在角色管理页面中,单击同意授权,如下图所示:
1. 登录 访问管理控制台,选择左侧导航栏中的角色。
2. 在角色页面中,单击新建角色。
3. 在弹出的选择角色载体窗口中,选择腾讯云产品服务。
4. 在新建自定义角色中,进行如下配置:
4.1 在输入角色载体信息中,勾选日志服务 (cls),并单击下一步。
4.2 在配置角色策略中,使用
clsrole 进行搜索,并在结果中勾选 QcloudCKAFKAAccessForCLSRole 及 QcloudCOSAccessForCLSRole 策略后,单击下一步。如下图所示:
4.3 在审阅中,输入角色名
CLS_QcsRole,并单击完成,如下图所示:
至此您已完成 CLS 服务角色访问 COS/Ckafka 的授权。若您是主账号,则可直接进行投递操作;若您是子账号或协作者账号,需要主账号授予您投递 COS/Ckafka 的权限,授权步骤参考 基于 CAM 管理权限, 复制授权策略参考 自定义权限策略示例。
