文档中心

负载均衡IAM策略类型

最近更新时间：2024.03.22 08:27:46

首次发布时间：2024.03.22 08:27:46

本文为您介绍IAM策略的类型及负载均衡相关的策略，以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型，您可直接使用系统预设策略为IAM身份授权。系统预设策略若无法满足您的需求，您可通过自定义策略精准授权，灵活管控账号资源。

系统预设策略

IAM平台已提前为您设置了关于负载均衡的默认策略，您可为直接为IAM身份（IAM用户、用户组或角色）授权系统预设策略。系统预设策略只能用于授权，不可编辑和修改。

负载均衡系统预设策略

系统预设策略名称	描述	策略类型
CLBFullAccess	被授权该策略后的IAM身份（IAM用户、用户组、角色）可获得权限范围内全部负载均衡资源的管理权限，包括创建、查看、修改和删除的所有操作。	策略
CLBReadOnlyAccess	被授权该策略后的IAM身份（IAM用户、用户组、角色）可获得权限范围内全部负载均衡资源的查看权限。如果IAM身份只授予该权限，则只可查看负载均衡资源，不可对负载均衡资源进行任何操作，也不可查看其他未授权的产品。	策略

负载均衡功能依赖的角色或策略

功能依赖云服务所需角色/策略

功能	依赖云服务	所需角色/策略
创建负载均衡实例	私有网络	为IAM用户授予CLBFullAccess权限后，如IAM用户所属主账号中已有VPC实例，则无需额外增加其他权限即可创建负载均衡实例。如IAM用户所属主账号中没有VPC实例，请使用主账号创建VPC实例，或者为IAM用户增加权限。为IAM用户增加权限有以下两种方案：方案一：为IAM用户增加VPCFullAccess权限。方案二：为IAM用户增加具有VPC实例、子网创建权限的自定义策略，策略内容如下： `{ "Statement":[ { "Effect":"Allow", "Action":[ "vpc:CreateVpc", "vpc:CreateSubnet", ], "Resource":[ "*" ] } ] }`
为后端服务器组添加后端服务器	云服务器	为IAM用户授予CLBFullAccess权限后，如IAM用户所属主账号中已有ECS实例，则无需额外增加其他权限即可为后端服务器组添加后端服务器。如IAM用户所属主账号中没有ECS实例，请使用主账号创建ECS实例，或者为IAM用户增加权限。为IAM用户增加权限有以下两种方案：方案一：为IAM用户增加ECSFullAccess权限。方案二：为IAM用户增加具有ECS实例创建权限的自定义策略，策略内容如下： `{ "Statement":[ { "Effect":"Allow", "Action":[ "ecs:RunInstances" ], "Resource":[ "*" ] } ] }`

创建负载均衡实例

私有网络

为IAM用户授予CLBFullAccess权限后，

如IAM用户所属主账号中已有VPC实例，则无需额外增加其他权限即可创建负载均衡实例。
如IAM用户所属主账号中没有VPC实例，请使用主账号创建VPC实例，或者为IAM用户增加权限。为IAM用户增加权限有以下两种方案：
- 方案一：为IAM用户增加VPCFullAccess权限。
- 方案二：为IAM用户增加具有VPC实例、子网创建权限的自定义策略，策略内容如下：
```
{
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "vpc:CreateVpc",
                "vpc:CreateSubnet",
            ],
            "Resource":[
                "*"
            ]
        }
    ]
}
```

为后端服务器组添加后端服务器

云服务器

为IAM用户授予CLBFullAccess权限后，

如IAM用户所属主账号中已有ECS实例，则无需额外增加其他权限即可为后端服务器组添加后端服务器。
如IAM用户所属主账号中没有ECS实例，请使用主账号创建ECS实例，或者为IAM用户增加权限。为IAM用户增加权限有以下两种方案：
- 方案一：为IAM用户增加ECSFullAccess权限。
- 方案二：为IAM用户增加具有ECS实例创建权限的自定义策略，策略内容如下：
```
{
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "ecs:RunInstances"
            ],
            "Resource":[
                "*"
            ]
        }
    ]
}
```

负载均衡产品系统预设策略详情

CLBFullAccess 策略详情

{
    "Statement": [
        {
            "Effect": "Allow",  //允许对指定资源执行该策略授权的所有操作
            "Action": [
                "clb:*",   //负载均衡的所有操作
                "clblogdelivery:*",  //健康检查日志的所有操作
                "vpc:DescribeEip*",  //查看公网IP信息
                "vpc:DisassociateEipAddress",  //解绑公网IP
                "vpc:AssociateEipAddress",  //绑定公网 IP
                "vpc:ModifyEipAddressAttributes",  //修改公网IP信息
                "vpc:ReleaseEipAddress",  //删除公网IP
                "vpc:AllocateEipAddress",  //申请公网IP
                "vpc:DescribeVpc*",   //查看VPC实例信息
                "vpc:DescribeSubnet*",  //查看子网信息
                "vpc:DescribeNetworkInterfaces",  //查看网卡列表
                "ecs:DescribeInstances",  查看ECS实例列表
                "Volc_Observe:List*",  //查看云监控资源
                "Volc_Observe:Get*"   //获取监控数据
            ],
            "Resource": [
                "*"  //所有资源
            ]
        }
    ]
}

CLBReadOnlyAccess 策略详情

{
    "Statement": [
        {
            "Effect": "Allow",  //允许对指定资源执行该策略授权的所有操作
            "Action": [
                "clb:*Describe*",  //除健康检查日志外，负载均衡的所有查看操作
                "clblogdelivery:*Describe*",  //查看健康检查日志
                "vpc:DescribeEip*",  //查看公网IP信息
                "vpc:DescribeVpc*",  //查看VPC实例信息
                "vpc:DescribeSubnet*",  //查看子网信息
                "vpc:DescribeNetworkInterfaces",  //查看网卡信息
                "ecs:DescribeInstances",  //查看ECS实例列表
                "Volc_Observe:List*",  //查看云监控资源
                "Volc_Observe:Get*"   //获取监控数据
            ],
            "Resource": [
                "*"  //所有资源
            ]
        }
    ]
}

自定义策略

如果IAM设置的默认策略无法满足您的业务需求，您可以根据实际情况，创建您自己的IAM策略。自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略（Resource-based policies）。

基于身份的策略：与IAM身份（用户、用户组或角色）绑定的策略称为“基于身份的策略”，用于为指定身份赋予访问云资源的权限，大部分场景仅需使用基于身份的策略。
基于资源的策略：与资源（非IAM身份）绑定的策略称为“基于资源的策略”，用于描述资源可被何种身份进行何种访问。目前火山引擎支持以下两种资源使用基于资源的策略：
- 访问控制角色： 角色上基于资源的策略也称为信任策略（Trust policy）。
- 对象存储桶： 存储桶上基于资源的策略也称为桶策略。

新建自定义策略

可视化策略编辑器：提供所见即所得的可视化策略编辑界面，无需深入了解策略语法，在界面中选择效果、服务、操作、资源、条件等策略内容，自动生成策略语法，优先推荐使用。
JSON编辑器：提供JSON语法的编辑器，您需根据策略语法规则自定义生成策略，适用于对策略语法较为熟悉的用户。

说明

目前可视化编辑器支持的产品范围有限，若您使用的服务未支持可视化策略编辑，您可切换至JSON编辑器编辑策略。当您使用JSON编辑器编辑语法后，切换至可视化编辑器可能不被识别，未识别不代表策略内容一定错误，若您确认策略语法无误，正常提交策略即可。

自定义策略语法

自定义策略语法通过策略元素定义策略的权限，自定义“基于身份的策略”和“基于资源的策略”时，策略元素有所区别。

更多策略语法的介绍，请参见IAM策略语法。
自定义策略时特定位置可使用通配符或变量，从而定义出更灵活、更复杂的权限规则。更多介绍，请参见变量与通配符。
我们为您提供使用负载均衡常用的一些自定义策略示例供您参考，具体请参见自定义策略语法示例。