You need to enable JavaScript to run this app.
导航
自定义策略语法示例
最近更新时间:2024.04.22 17:37:03首次发布时间:2024.03.22 08:27:15

如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的云企业网相关的自定义策略示例,供您参考。

自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法

自定义策略示例

示例一:拒绝删除云企业网资源

说明

Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效。

如果您希望子用户可以进行除删除云企业网资源外的所有操作时,可以为子用户授权系统预设策略CENFullAccess和以下自定义策略:

  • 拒绝删除全部云企业网资源

    {
        "Statement": [
            {
                "Effect": "Deny",
                "Action": [
                    "cen:Delete*"
                ],
                "Resource": [
    				        "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "directconnect:DescribeDirectConnectGateway*"
                ],
                "Resource": [
    				        "*"
                ]
            }
        ]
    }
    
  • 拒绝删除指定账号下指定的云企业网资源

    {
          "Statement": [
              {
                  "Effect": "Deny",
                  "Action": [
                      "cen:Delete*"
                  ],
                  "Resource": [
      				        "trn:cen::200000000X:cen/cen-2yyxafgve001",  //200000000X账号下的CEN实例cen-2yyxafgve001
      		            "trn:cen::200000000X:cenbandwidthpackage/cbp-2yyxafgve002"  //200000000X账号下的带宽包实例cbp-2yyxafgve002
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "directconnect:DescribeDirectConnectGateway*"  // 查看专线网关实例
                  ],
                  "Resource": [
      				        "*"
                  ]
              }
          ]
      }
    

示例二:授权更新查看云企业网资源的权限

如果仅允许子用户查看和更新已有云企业网资源,但不允许新建和删除云企业网资源,则可以为子用户授权系统预设策略CENFullAccess和以下自定义策略:

{
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "cen:Create*",
        "cen:Delete*"
      ],
      "Resource": [
        "trn:cen::200000000X:*/*"  // 200000000X账号下的所有云企业网资源
      ]
    }
  ]
}

示例三:允许使用标签功能

{	
			"Statement":[	
					{	
							"Effect":"Allow",	 // 允许执行该策略授权的所有操作
							"Action":[	
									"cen:TagResources",
									"cen:UntagResources",
									"cen:ListTagsForResources"
							],	
							"Resource":[	
									"*"
							]
					}
			]
	}

相关文档

更多示例请参见自定义策略(Demo)