IAM策略支持系统预设策略和自定义策略两种类型,您可直接将系统预设策略授权给IAM身份(IAM用户、用户组或角色),实现对云资源的权限控制。本文主要介绍云服务器ECS相关的系统预设策略。
IAM平台已提前为您设置了关于ECS的默认策略,具体如下表所示。
您可直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改。
| 系统预设策略名称 | 描述 |
|---|---|
| ECSFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围(全局权限或项目权限)内云服务器ECS的管理权限,包括创建、修改、删除、查看资源等操作。 |
| ECSReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围(全局权限或项目权限)内云服务器ECS的只读权限。仅可查看ECS相关资源,不可对资源进行任何管理操作,也不可查看其他未授权的云产品。 |
ECSFullAccess 策略详情
说明
被授予此权限后,可获取权限范围内全部云服务器(ECS)、负载均衡(CLB)、NAT网关、标签服务(TAG)、私有网络(VPC)、VPN连接、弹性块存储(EBS)资源的管理权限、访问控制IAM等的查看权限。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*", "clb:*", "nat:*", "tag:*", "iam:Get*", "iam:List*", "iam:MoveProjectResource", "vpc:*", "vpn:*", "storage_ebs:*", "Volc_CLB:*" ], "Resource": [ "*" ] } ] }
ECSReadOnlyAccess 策略详情
说明
被授予此权限后,可获取权限范围内全部云服务器及相关网络、存储等资源的查看权限。
{ "Statement": [ { "Effect": "Allow", "Action": [ "ecs:Get*", "ecs:*Describe*", "ecs:*List*", "clb:Get*", "tag:Query*", "tag:Get*", "iam:Get*", "iam:List*", "vpc:Get*", "vpc:Check*", "vpc:*Describe*", "vpn:Get*", "storage_ebs:*Get*", "storage_ebs:*Describe*", "storage_ebs:*List*", "storage_ebs:Check*", "Volc_CLB:Get*", "Volc_CLB:List*", "Volc_CLB:Describe*" ], "Resource": [ "*" ] } ] }
| 功能 | 依赖云服务 | 所需角色/策略 |
|---|---|---|
| 管理云服务器安全加固 | 云安全中心 | 为IAM用户授予ECSFullAccess或ECSReadOnlyAccess权限后,还需增加SecCenterFullAccess或SecCenterReadOnlyAccess权限才能管理/查看云服务器实例的安全加固状态。 |
| 查看云服务器监控详情 | 云监控 | 为IAM用户授予ECSFullAccess或ECSReadOnlyAccess权限后,还需增加CloudMonitorReadOnlyAccess权限才能查看云服务器实例的监控数据。 |
| 接受事件通知 | 消息中心 | 为IAM用户授予ECSFullAccess或ECSReadOnlyAccess权限后,还需添加MessageCenterFullAccess或SiteMessageReadOnlyAccess策略后才能配置消息接收方式(短信/邮件/站内信等)或者仅查看站内信。 |