最近更新时间:2024.03.22 08:25:16
首次发布时间:2023.03.22 17:22:03
本文为您介绍IAM策略的类型及VPN连接相关的策略,以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型,您可直接使用系统预设策略为IAM身份授权,系统预设策略若无法满足您的需求,您可通过自定义策略精准授权,灵活管控账号资源。
IAM平台已提前为您设置了关于VPN连接的默认策略,您可为直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改。
| 系统预设策略名称 | 描述 |
|---|---|
| VPNFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部VPN连接资源的管理权限。 |
| VPNReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部VPN连接资源的查看权限。如果IAM身份只授予该权限,则只可查看VPN连接资源,不可对VPN连接资源进行任何操作,也不可查看其他未授权的产品。 |
| 操作 | VPNFullAccess | VPNReadOnlyAccess |
|---|---|---|
| 创建VPN网关 | √ | × |
| 查询VPN网关 | √ | √ |
| 修改VPN网关 | √ | × |
| 删除VPN网关 | √ | × |
| 创建用户网关 | √ | × |
| 查询用户网关 | √ | √ |
| 修改用户网关 | √ | × |
| 删除用户网关 | √ | × |
| 创建IPsec连接 | √ | × |
| 查询IPsec连接 | √ | √ |
| 修改IPsec连接 | √ | × |
| 删除IPsec连接 | √ | × |
| 创建SSL服务端 | √ | × |
| 查询SSL服务端 | √ | √ |
| 修改SSL服务端 | √ | × |
| 删除SSL服务端 | √ | × |
| 创建SSL客户端证书 | √ | × |
| 查询SSL客户端证书 | √ | √ |
| 删除SSL客户端证书 | √ | × |
| 功能 | 依赖云服务 | 所需角色/策略 |
|---|---|---|
| 查看IPsec连接日志功能 | 日志服务 | 为IAM用户授予VPNFullAccess或VPNReadOnlyAccess权限后,需要增加TLSReadOnlyAccess权限后才能查看IPsec连接日志详情。 |
| 查看VPN连接监控详情 | 云监控 | 为IAM用户授予VPNFullAccess或VPNReadOnlyAccess权限后,需要增加CloudMonitorReadOnlyAccess后才能查看VPN网关、IPsec连接监控信息。 |
IPsec连接绑定中转路由器 | 中转路由器 | 当IPsec连接需要绑定中转路由器,为IAM用户授予VPNFullAccess权限后,需要授权中转路由器实例的读权限和VPN类型网络实例连接的读写权限。
|
说明
被授予此权限后,可获取权限范围内全部VPN连接资源的管理权限和私有网络(VPC)、子网的查看权限。
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:DescribeVpc*", "vpc:DescribeSubnet*", "vpn:*" ], "Resource": [ "*" ] } ] }
说明
被授予此权限后,可获取权限范围内全部VPN连接资源的查看权限和私有网络(VPC)、子网的查看权限。
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:DescribeVpc*", "vpc:DescribeSubnet*", "vpn:*Describe*" ], "Resource": [ "*" ] } ] }
如果IAM设置的默认策略无法满足您的业务需求,您可以根据实际情况,创建您自己的IAM策略。自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。
说明
目前可视化编辑器支持的产品范围有限,若您使用的服务未支持可视化策略编辑,您可切换至JSON编辑器编辑策略。当您使用JSON编辑器编辑语法后,切换至可视化编辑器可能不被识别,未识别不代表策略内容一定错误,若您确认策略语法无误,正常提交策略即可。
自定义策略语法通过策略元素定义策略的权限,自定义“基于身份的策略”和“基于资源的策略”时,策略元素有所区别。