如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的负载均衡相关的自定义策略示例,供您参考。
自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法。
如果仅允许IAM用户查看和更新负载均衡资源,可以参考以下示例为IAM用户授权自定义策略:
{ "Statement": [ { "Effect": "Allow", "Action": [ "clb:*Describe*", "clb:Modify*", "clb:Convert*", "clb:Renew*", "clb:Set*" ], "Resource": [ "trn:clb:*:210005****:*/*" ] } ] }
拒绝策略需要配合其他策略一起使用才能生效。用户被授权的策略中同时包含Allow和Deny配置时,Deny配置优先。
如果您希望IAM用户可以进行除删除负载均衡资源外的所有操作时,可以为IAM用户授权系统预设策略CLBFullAccess和以下自定义策略:
{ "Statement": [ { "Effect": "Deny", "Action": [ "clb:*Delete*" ], "Resource": [ "trn:clb:*:210005****:*/*" ] } ] }
参考以下配置为IAM用户授权标签功能的使用权限。
{ "Statement":[ { "Effect":"Allow", "Action":[ "clb:TagResources", "clb:UntagResources", "clb:ListTagsForResources" ], "Resource":[ "*" ] } ] }
更多示例请参见自定义策略(Demo)。
负载均衡CLB资源TRN格式如下表所示:
产品 | 产品Service代码 | 资源类型 | 资源类型代码 | trn格式 |
---|---|---|---|---|
负载均衡 | clb | 负载均衡实例 | clb | trn:clb:{region}:{account}:clb/{clbid} |
监听器 | listener | trn:clb:{region}:{account}:listener/{listenerid} | ||
后端服务器组 | servergroup | trn:clb:{region}:{account}:servergroup/{servergroupid} | ||
访问控制策略组 | acl | trn:clb:{region}:{account}:acl/{aclid} | ||
证书 | certificate | trn:clb:{region}:{account}:certificate/{certificateid} |