文档中心

云服务器IAM策略类型

最近更新时间：2024.04.23 18:45:29

首次发布时间：2024.04.23 18:45:29

本文为您介绍IAM策略的类型及云服务器ECS相关的策略，以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型，您可直接使用系统预设策略为IAM身份授权，但系统预设策略有限若无法满足您的需求，您可通过自定义策略精准授权，灵活管控账号资源。

系统预设策略

云服务器ECS的系统预设策略

IAM平台已提前为您设置了关于ECS的默认策略，具体如下表所示。
您可直接为IAM身份（IAM用户、用户组或角色）授权系统预设策略。系统预设策略只能用于授权，不可编辑和修改。

系统预设策略名称	描述
ECSFullAccess	被授权该策略后的IAM身份（IAM用户、用户组、角色），可获得权限范围（全局权限或项目权限）内云服务器ECS的管理权限，包括创建、修改、删除、查看资源等操作。
ECSReadOnlyAccess	被授权该策略后的IAM身份（IAM用户、用户组、角色），可获得权限范围（全局权限或项目权限）内云服务器ECS的只读权限。仅可查看ECS相关资源，不可对资源进行任何管理操作，也不可查看其他未授权的云产品。

ECSFullAccess 策略详情

说明

被授予此权限后，可获取权限范围内全部云服务器（ECS）、负载均衡（CLB）、NAT网关、标签服务（TAG）、私有网络（VPC）、VPN连接、弹性块存储（EBS）资源的管理权限、访问控制IAM等的查看权限。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*",
                "clb:*",
                "nat:*",
                "tag:*",
                "iam:Get*",
                "iam:List*",
                "iam:MoveProjectResource",
                "vpc:*",
                "vpn:*",
                "storage_ebs:*",
                "Volc_CLB:*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

ECSReadOnlyAccess 策略详情

说明

被授予此权限后，可获取权限范围内全部云服务器及相关网络、存储等资源的查看权限。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:Get*",
                "ecs:*Describe*",
                "ecs:*List*",
                "clb:Get*",
                "tag:Query*",
                "tag:Get*",
                "iam:Get*",
                "iam:List*",
                "vpc:Get*",
                "vpc:Check*",
                "vpc:*Describe*",
                "vpn:Get*",
                "storage_ebs:*Get*",
                "storage_ebs:*Describe*",
                "storage_ebs:*List*",
                "storage_ebs:Check*",
                "Volc_CLB:Get*",
                "Volc_CLB:List*",
                "Volc_CLB:Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

云服务器ECS跨服务授权场景

功能	依赖云服务	所需角色/策略
管理云服务器安全加固	云安全中心	为IAM用户授予ECSFullAccess或ECSReadOnlyAccess权限后，还需增加SecCenterFullAccess或SecCenterReadOnlyAccess权限才能管理/查看云服务器实例的安全加固状态。
查看云服务器监控详情	云监控	为IAM用户授予ECSFullAccess或ECSReadOnlyAccess权限后，还需增加CloudMonitorReadOnlyAccess权限才能查看云服务器实例的监控数据。
接受事件通知	消息中心	为IAM用户授予ECSFullAccess或ECSReadOnlyAccess权限后，还需添加MessageCenterFullAccess或SiteMessageReadOnlyAccess策略后才能配置消息接收方式（短信/邮件/站内信等）或者仅查看站内信。

说明

如需了解相关云服务的系统预设策略详情，请前往策略管理控制台查看。

自定义策略

如果IAM设置的默认策略无法满足您的业务需求，您可以根据实际情况，创建您自己的IAM策略。自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略（Resource-based policies）。

基于身份的策略：与IAM身份（用户、用户组或角色）绑定的策略称为”基于身份的策略“，用于为指定身份赋予访问云资源的权限，大部分场景仅需使用基于身份的策略。
基于资源的策略：与资源（非IAM身份）绑定的策略称为”基于资源的策略“，用于描述资源可被何种身份进行何种访问。目前火山引擎支持以下两种资源使用基于资源的策略：
- 访问控制角色： 角色上基于资源的策略也称为信任策略（Trust policy）。
- 对象存储桶： 存储桶上基于资源的策略也称为桶策略。

新建自定义策略

可视化策略编辑器：提供所见即所得的可视化策略编辑界面，无需深入了解策略语法，在界面中选择效果、服务、操作、资源、条件等策略内容，自动生成策略语法，优先推荐使用。
JSON编辑器：提供JSON语法的编辑器，您需根据策略语法规则自定义生成策略，适用于对策略语法较为熟悉的用户。

说明

目前可视化编辑器支持的产品范围有限，若您使用的服务未支持可视化策略编辑，您可切换至JSON编辑器编辑策略。当您使用JSON编辑器编辑语法后，切换至可视化编辑器可能不被识别，未识别不代表策略内容一定错误，若您确认策略语法无误，正常提交策略即可。

自定义策略语法

自定义策略语法通过策略元素定义策略的权限，自定义“基于身份的策略”和“基于资源的策略”时，策略元素有所区别。

更多策略语法的介绍，请参见IAM策略语法。
自定义策略时特定位置可使用通配符或变量，从而定义出更灵活、更复杂的权限规则。更多介绍，请参见变量与通配符。
我们为您提供使用云服务器ECS常用的一些自定义策略示例供您参考，具体请参见自定义策略语法示例。