最近更新时间:2024.04.23 14:17:21
首次发布时间:2023.09.05 08:30:39
当前专线连接仅物理专线支持项目管理,专线网关资源、虚拟接口资源只有主账号和全局子用户(授予了全局权限DirectConnectFullAccess的子用户)可见,需要给其他无法查看专线网关和虚拟接口资源的子用户授予相关权限,实现非全局子用户可见并管理专线网关、虚拟接口资源。
此自定义策略可定义专线网关、虚拟接口资源管理权限,被授权的IAM身份用户可读、写专线网关、虚拟接口资源。
使用场景
当给IAM身份授予专线连接系统预设策略DirectConnectFullAccess的项目范围权限后,IAM身份实际仅可查看物理专线控制台管理物理专线资源,需要额外再授予此自定义策略后,才可查看专线网关、虚拟接口控制台,管理专线网关和虚拟接口资源,即获得专线连接产品全部资源的管理权限。
策略语法
{ "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:*Gateway*", "directconnect:*VirtualInterface*", "directconnect:*BgpPeer*", "cen:*Grant*", "cen:*Revoke*Cen", "vpc:*InternetTunnel*" ], "Resource": [ "*" ] } ] }
此自定义策略可定义专线网关、虚拟接口资源的只读权限,被授权的IAM身份仅可查看专线网关、虚拟接口资源,但不可操作。
使用场景
当给IAM身份授予专线连接系统预设策略DirectConnectReadOnlyAccess的项目范围权限后,IAM身份实际仅可查看物理专线控制台和物理专线资源,需要额外再授予此自定义策略后,才可查看专线网关、虚拟接口控制台,查看专线网关和虚拟接口资源,即获得专线连接产品全部资源的只读权限。
策略语法
{ "Statement": [ { "Effect": "Allow", "Action": [ "directconnect:Describe*Gateway*", "directconnect:Describe*VirtualInterface*", "directconnect:Describe*BgpPeer*", "cen:Describe*Grant*", "vpc:DescribeInternetTunnel*" ], "Resource": [ "*" ] } ] }
此自定义策略可定义专线资源标签管理权限,被授权的IAM身份可读、写专线连接资源的标签。除此之外,您也可以直接使用标签服务系统预设策略,直接为
{ "Statement":[ { "Effect":"Allow", "Action":[ "vpc:TagResources", "vpc:UntagResources", "vpc:ListTagsForResources" ], "Resource":[ "*" ] } ] }
此自定义策略可定义查询云企业网列表和专线网关加入已有云企业网的操作权限,仅可使用已有云企业网,不允许创建新的云企业网。
{ "Statement":[ { "Effect":"Allow", "Action":[ "cen:DescribeCen*", "cen:AttachInstanceToCen", "cen:DetachInstanceFromCen" ], "Resource":[ "*" ] } ] }
此自定义策略可定义查询云企业网列表、创建新的云企业网和专线网关加入已有云企业网的操作权限,可使用已有云企业网,也可以创建新的云企业网。
{ "Statement":[ { "Effect":"Allow", "Action":[ "cen:CreateCen", "cen:DescribeCen*", "cen:AttachInstanceToCen", "cen:DetachInstanceFromCen" ], "Resource":[ "*" ] } ] }
此自定义策略可定义查询中转路由器列表和创建专线网关类型的网络实例连接的操作权限,仅可使用已有的中转路由器资源,不可操作中转路由器资源。
{ "Statement":[ { "Effect":"Allow", "Action":[ "tr:DescribeTransitRouters", "tr:CreateTransitRouterDirectConnectGatewayAttachment", "tr:DescribeTransitRouterAttachments" ], "Resource":[ "*" ] } ] }
更多示例请参见自定义策略(Demo)。