最近更新时间:2024.04.22 16:37:24
首次发布时间:2022.11.03 08:37:51
如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的负载均衡相关的自定义策略示例,供您参考。
自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法。
如果仅允许IAM用户查看和更新负载均衡资源,可以参考以下示例为IAM用户授权自定义策略:
{ "Statement": [ { "Effect": "Allow", "Action": [ "clb:*Describe*", "clb:Modify*", "clb:Convert*", "clb:Renew*", "clb:Set*" ], "Resource": [ "trn:clb:*:210005****:*/*" ] } ] }
拒绝策略需要配合其他策略一起使用才能生效。用户被授权的策略中同时包含Allow和Deny配置时,Deny配置优先。
如果您希望IAM用户可以进行除删除负载均衡资源外的所有操作时,可以为IAM用户授权系统预设策略CLBFullAccess和以下自定义策略:
{ "Statement": [ { "Effect": "Deny", "Action": [ "clb:*Delete*" ], "Resource": [ "trn:clb:*:210005****:*/*" ] } ] }
参考以下配置为IAM用户授权标签功能的使用权限。
{ "Statement":[ { "Effect":"Allow", "Action":[ "clb:TagResources", "clb:UntagResources", "clb:ListTagsForResources" ], "Resource":[ "*" ] } ] }
IAM用户所属账号中没有VPC实例和ECS实例时,如需使用IAM用户增、删、改、查所有负载均衡资源,除了为IAM用户授权系统预设策略CLBFullAccess,还需要授权以下自定义策略:
{ "Statement":[ { "Effect":"Allow", "Action":[ "vpc:CreateVpc", // 创建VPC实例 "vpc:CreateSubnet", //创建子网 "ecs:RunInstances" //创建ECS实例 ], "Resource":[ "*" ] } ] }
更多示例请参见自定义策略(Demo)。