最近更新时间:2024.04.22 17:37:03
首次发布时间:2024.03.22 08:27:15
如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的云企业网相关的自定义策略示例,供您参考。
自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法。
说明
Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效。
如果您希望子用户可以进行除删除云企业网资源外的所有操作时,可以为子用户授权系统预设策略CENFullAccess和以下自定义策略:
拒绝删除全部云企业网资源
{ "Statement": [ { "Effect": "Deny", "Action": [ "cen:Delete*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "directconnect:DescribeDirectConnectGateway*" ], "Resource": [ "*" ] } ] }
拒绝删除指定账号下指定的云企业网资源
{ "Statement": [ { "Effect": "Deny", "Action": [ "cen:Delete*" ], "Resource": [ "trn:cen::200000000X:cen/cen-2yyxafgve001", //200000000X账号下的CEN实例cen-2yyxafgve001 "trn:cen::200000000X:cenbandwidthpackage/cbp-2yyxafgve002" //200000000X账号下的带宽包实例cbp-2yyxafgve002 ] }, { "Effect": "Allow", "Action": [ "directconnect:DescribeDirectConnectGateway*" // 查看专线网关实例 ], "Resource": [ "*" ] } ] }
如果仅允许子用户查看和更新已有云企业网资源,但不允许新建和删除云企业网资源,则可以为子用户授权系统预设策略CENFullAccess和以下自定义策略:
{ "Statement": [ { "Effect": "Deny", "Action": [ "cen:Create*", "cen:Delete*" ], "Resource": [ "trn:cen::200000000X:*/*" // 200000000X账号下的所有云企业网资源 ] } ] }
{ "Statement":[ { "Effect":"Allow", // 允许执行该策略授权的所有操作 "Action":[ "cen:TagResources", "cen:UntagResources", "cen:ListTagsForResources" ], "Resource":[ "*" ] } ] }
更多示例请参见自定义策略(Demo)。