背景信息
Ticket是指一个短期有效的令牌(Token),用于拼接免密且免登录链接,获取链接的用户无需登录阿里云账户,就可以访问指定的查询分析页面或仪表盘页面。
操作流程如下:
为RAM用户授权。
准备分享链接。
调用CreateTicket接口获取Ticket。
用Ticket拼接到分享链接中,生成免密且免登录链接。
生成的链接会继承CreateTicket接口调用者在日志服务中已有的权限,为避免使用主账号调用接口而造成的数据安全风险,在该场景中强烈建议使用RAM用户来调用CreateTicket接口,并为该RAM用户设置最小化的权限范围,具体参见下面的步骤一:为RAM用户授权。
生成免密且免登录的链接
步骤一:为RAM用户授权
如果使用阿里云主账号,可跳过这步,直接前往步骤二。
创建RAM用户。
为RAM用户授予指定资源(Project、Logstore)的权限和调用CreateTicket接口的权限。
授予指定资源权限的步骤,请参见RAM自定义授权场景。
授予调用CreateTicket接口,具体操作步骤请参见为RAM用户授权和创建自定义权限策略。
{
"Version": "1",
"Statement": [
{
"Effect": "Allow",
"Action": "log:CreateTicket",
"Resource": "acs:log:*:*:ticket/*"
}
]
}
步骤二:准备链接
查询分析页面:
https://sls.console.aliyun.com/lognext/project/<Project名称>/logsearch/<日志库名称>?slsRegion=<Project所在地域>&hideTopbar=true&hideSidebar=true&ignoreTabLocalStorage=true
Project名称参见管理Project,日志库名称参见管理Logstore,Project所在地域参见服务接入点的地域ID。
查询页面:
https://sls.console.aliyun.com/lognext/project/<Project名称>/logsearch/<日志库名称>?slsRegion=<Project所在地域>&isShare=true&hideTopbar=true&hideSidebar=true&ignoreTabLocalStorage=true
仪表盘页面:
重要 仪表盘ID为网页链接上的ID,并非仪表盘的展示名称。仪表盘免密分享也可以在控制台操作,具体步骤请参见仪表盘免密分享。
https://sls.console.aliyun.com/lognext/project/<Project名称>/dashboard/<仪表盘ID>?slsRegion=<Project所在地域>&isShare=true&hideTopbar=true&hideSidebar=true&ignoreTabLocalStorage=true
步骤三:获取票据Ticket
步骤四:拼接免密且免登录链接
将步骤二的链接与票据Ticket拼接,生成免密且免登录访问链接。
https://sls.console.aliyun.com/lognext/project/<Project名称>/dashboard/<仪表盘ID>?slsRegion=<Project所在地域>&sls_ticket=eyJ***************.eyJ******************.KUT****************&isShare=true&hideTopbar=true&hideSidebar=true&ignoreTabLocalStorage=true
链接测试。您可以将生成的免登录链接输入浏览器的地址栏进行测试。若可正常打开日志服务控制台分享页面,则说明已成功生成免登录链接。
常见问题
如何动态生成Ticket?
如果在第三方系统中嵌入控制台页面,则需要在应用程序中动态调用CreateTicket接口,以定期获取Ticket。如果使用RAM用户的长期访问密钥调用接口,操作步骤简单,但安全风险较高,建议使用具有临时身份凭证(STS Token)的RAM角色调用接口,可以降低安全风险。
创建RAM用户和创建可信实体为阿里云账号的RAM角色。
为RAM用户授予STS的管理权限(AliyunSTSAssumeRoleAccess),为RAM角色授予调用CreateTicket接口的权限和日志服务的相关权限,授权操作请参见为RAM角色授权和RAM自定义授权场景。
使用RAM角色调用CreateTicket接口。
使用RAM用户调用AssumeRole接口,获取SecurityToken、AccessKeySecret和AccessKeyId。
RAM用户使用这三个参数扮演RAM角色,从而调用CreateTicket接口获取Ticket。
SDK示例
Java
添加Maven依赖。
在Java项目的根目录下,打开pom.xml文件,添加以下代码:
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>sls20201230</artifactId>
<version>5.2.1</version>
</dependency>
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>tea-openapi</artifactId>
<version>0.3.2</version>
</dependency>
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>tea-console</artifactId>
<version>0.0.1</version>
</dependency>
<dependency>
<groupId>com.aliyun</groupId>
<artifactId>tea-util</artifactId>
<version>0.2.21</version>
</dependency>
创建生成票据代码。
import com.aliyun.tea.*;
public class Sample {
/**
* 使用AK&SK初始化账号Client
* @return Client
* @throws Exception
*/
public static com.aliyun.sls20201230.Client createClient() throws Exception {
// 工程代码泄露可能会导致 AccessKey 泄露,并威胁账号下所有资源的安全性。以下代码示例仅供参考。
// 建议使用更安全的 STS 方式。
com.aliyun.teaopenapi.models.Config config = new com.aliyun.teaopenapi.models.Config()
// 必填,请确保代码运行环境设置了环境变量 ALIBABA_CLOUD_ACCESS_KEY_ID。
.setAccessKeyId(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_ID"))
// 必填,请确保代码运行环境设置了环境变量 ALIBABA_CLOUD_ACCESS_KEY_SECRET。
.setAccessKeySecret(System.getenv("ALIBABA_CLOUD_ACCESS_KEY_SECRET"));
// Endpoint 请参考 https://api.aliyun.com/product/Sls
config.endpoint = "cn-shanghai.log.aliyuncs.com";
return new com.aliyun.sls20201230.Client(config);
}
public static void main(String[] args_) throws Exception {
java.util.List<String> args = java.util.Arrays.asList(args_);
com.aliyun.sls20201230.Client client = Sample.createClient();
com.aliyun.sls20201230.models.CreateTicketRequest createTicketRequest = new com.aliyun.sls20201230.models.CreateTicketRequest();
com.aliyun.teautil.models.RuntimeOptions runtime = new com.aliyun.teautil.models.RuntimeOptions();
java.util.Map<String, String> headers = new java.util.HashMap<>();
try {
com.aliyun.sls20201230.models.CreateTicketResponse resp = client.createTicketWithOptions(createTicketRequest, headers, runtime);
com.aliyun.teaconsole.Client.log(com.aliyun.teautil.Common.toJSONString(resp));
} catch (TeaException error) {
// 此处仅做打印展示,请谨慎对待异常处理,在工程项目中切勿直接忽略异常。
// 错误 message
System.out.println(error.getMessage());
// 诊断地址
System.out.println(error.getData().get("Recommend"));
com.aliyun.teautil.Common.assertAsString(error.message);
} catch (Exception _error) {
TeaException error = new TeaException(_error.getMessage(), _error);
// 此处仅做打印展示,请谨慎对待异常处理,在工程项目中切勿直接忽略异常。
// 错误 message
System.out.println(error.getMessage());
// 诊断地址
System.out.println(error.getData().get("Recommend"));
com.aliyun.teautil.Common.assertAsString(error.message);
}
}
}
Python
# -*- coding: utf-8 -*-
# This file is auto-generated, don't edit it. Thanks.
import os
import sys
from typing import List
from alibabacloud_sls20201230.client import Client as Sls20201230Client
from alibabacloud_tea_openapi import models as open_api_models
from alibabacloud_sls20201230 import models as sls_20201230_models
from alibabacloud_tea_util import models as util_models
from alibabacloud_tea_util.client import Client as UtilClient
class Sample:
def __init__(self):
pass
@staticmethod
def create_client() -> Sls20201230Client:
"""
使用AK&SK初始化账号Client
@return: Client
@throws Exception
"""
# 工程代码泄露可能会导致 AccessKey 泄露,并威胁账号下所有资源的安全性。以下代码示例仅供参考。
# 建议使用更安全的 STS 方式,更多鉴权访问方式请参见:https://help.aliyun.com/document_detail/378659.html。
config = open_api_models.Config(
# 必填,请确保代码运行环境设置了环境变量 ALIBABA_CLOUD_ACCESS_KEY_ID。,
access_key_id=os.environ['ALIBABA_CLOUD_ACCESS_KEY_ID'],
# 必填,请确保代码运行环境设置了环境变量 ALIBABA_CLOUD_ACCESS_KEY_SECRET。,
access_key_secret=os.environ['ALIBABA_CLOUD_ACCESS_KEY_SECRET'],
# 必填,请确保代码运行环境设置了安全令牌SecurityToken
security_token=os.environ['ALIBABA_CLOUD_Token']
)
# Endpoint 请参考 https://api.aliyun.com/product/Sls
config.endpoint = f'cn-shanghai.log.aliyuncs.com'
return Sls20201230Client(config)
@staticmethod
def main(
args: List[str],
) -> None:
client = Sample.create_client()
create_ticket_request = sls_20201230_models.CreateTicketRequest(
expiration_time=300
)
runtime = util_models.RuntimeOptions()
headers = {}
try:
# 复制代码运行请自行打印 API 的返回值
client.create_ticket_with_options(create_ticket_request, headers, runtime)
except Exception as error:
# 此处仅做打印展示,请谨慎对待异常处理,在工程项目��切勿直接忽略异常。
# 错误 message
print(error.message)
# 诊断地址
print(error.data.get("Recommend"))
UtilClient.assert_as_string(error.message)
@staticmethod
async def main_async(
args: List[str],
) -> None:
client = Sample.create_client()
create_ticket_request = sls_20201230_models.CreateTicketRequest(
expiration_time=300
)
runtime = util_models.RuntimeOptions()
headers = {}
try:
# 复制代码运行请自行打印 API 的返回值
await client.create_ticket_with_options_async(create_ticket_request, headers, runtime)
except Exception as error:
# 此处仅做打印展示,请谨慎对待异常处理,在工程项目中切勿直接忽略异常。
# 错误 message
print(error.message)
# 诊断地址
print(error.data.get("Recommend"))
UtilClient.assert_as_string(error.message)
if __name__ == '__main__':
Sample.main(sys.argv[1:])
根据返回的Ticket拼接出不同权限范围的免密链接。
SDK请求CreateTicket报错:InvalidMethod
服务地址Endpoint只能是华东2(上海)或新加坡,但获取的Ticket可以在各个地域使用。
Ticket限制
Ticket默认有效时长为24小时,最长为30天,且只能使用一次。生成Ticket的总数没有限制,CreateTicket QPS限制为每用户10次/s。
第三方cookie限制
使用控制台内嵌及分享(新版)不依赖第三方cookie。
内嵌页面加载速度
使用控制台内嵌及分享(新版)相比老版,有更高的加载速度。
需要开多个内嵌页面,每个内嵌页面权限相同
可以生成一个Ticket,然后在同一个浏览器中刷新页面。当Ticket过期时,重新生成新的Ticket,然后替换所有Tab页的Ticket。
不同浏览器或电脑会被视为不同的用户,因为一个ticket只能使用一次,所以会报错:
{"code":"TicketUnavailable","message":"There are no more tickets available.","requestId":"xxxxxx","success":false}
需要开多个内嵌页面,每个内嵌页面权限不同
可以生成多个Ticket,每个Ticket关联不同的权限,但只有最后一个Ticket对应的内嵌页面可以刷新,原因是只能记录一个cookie作为当前使用者的凭证,对应最后生成的Ticket,每次刷新会根据该cookie作为当前的使用者。
在不刷新页面的情况下,不需要用到cookie,仍然可以切换标签页并操作不同内嵌页面的内容,对应的权限也不同。
此时刷新非最后一个ticket对应的内嵌页面,会报错:
{"code":"TicketUnavailable","message":"There are no more tickets available.","requestId":"xxxxxx","success":false}
