自定义策略配置示例

当前专线连接仅物理专线支持项目管理，专线网关资源、虚拟接口资源只有主账号和全局子用户（授予了全局权限DirectConnectFullAccess的子用户）可见，需要给其他无法查看专线网关和虚拟接口资源的子用户授予相关权限，实现非全局子用户可见并管理专线网关、虚拟接口资源。

自定义策略示例

示例一：自定义专线连接全局读写权限

此自定义策略可定义专线网关、虚拟接口资源管理权限，被授权的IAM身份用户可读、写专线网关、虚拟接口资源。

• 使用场景
  当给IAM身份授予专线连接系统预设策略DirectConnectFullAccess的项目范围权限后，IAM身份实际仅可查看物理专线控制台管理物理专线资源，需要额外再授予此自定义策略后，才可查看专线网关、虚拟接口控制台，管理专线网关和虚拟接口资源，即获得专线连接产品全部资源的管理权限。

• 策略语法

  {
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "directconnect:*Gateway*",
                  "directconnect:*VirtualInterface*",
                  "directconnect:*BgpPeer*",
                  "cen:*Grant*",
                  "cen:*Revoke*Cen",
                  "vpc:*InternetTunnel*"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  

示例二：自定义专线连接只读权限策略

此自定义策略可定义专线网关、虚拟接口资源的只读权限，被授权的IAM身份仅可查看专线网关、虚拟接口资源，但不可操作。

• 使用场景
  当给IAM身份授予专线连接系统预设策略DirectConnectReadOnlyAccess的项目范围权限后，IAM身份实际仅可查看物理专线控制台和物理专线资源，需要额外再授予此自定义策略后，才可查看专线网关、虚拟接口控制台，查看专线网关和虚拟接口资源，即获得专线连接产品全部资源的只读权限。

• 策略语法

  {
      "Statement": [
          {
              "Effect": "Allow",
              "Action": [
                  "directconnect:Describe*Gateway*",
                  "directconnect:Describe*VirtualInterface*",
                  "directconnect:Describe*BgpPeer*",
                  "cen:Describe*Grant*",
                  "vpc:DescribeInternetTunnel*"
              ],
              "Resource": [
                  "*"
              ]
          }
      ]
  }
  

示例三：自定义标签管理权限策略

此自定义策略可定义专线资源标签管理权限，被授权的IAM身份可读、写专线连接资源的标签。除此之外，您也可以直接使用标签服务系统预设策略，直接为

• 使用场景
  IAM身份需要使用标签管理能力，为专线连接资源添加、管理标签。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "vpc:TagResources",
                  "vpc:UntagResources",
                  "vpc:ListTagsForResources"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

示例四：允许专线网关加入云企业网（CEN）

此自定义策略可定义查询云企业网列表和专线网关加入已有云企业网的操作权限，仅可使用已有云企业网，不允许创建新的云企业网。

• 使用场景
  IAM身份使用完整专线连接能力，除了需要获取专线连接资源权限外，还需要获取把专线网关加入云企业网的操作权限，在此基础上又不希望IAM身份操作云企业网资源，如此专线网关加入已有的云企业网，实现与同云企业网内其他云服务的互通。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "cen:DescribeCen*",
                  "cen:AttachInstanceToCen",
                  "cen:DetachInstanceFromCen"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

示例五：允许创建云企业网并把专线网关加云企业网（CEN）

此自定义策略可定义查询云企业网列表、创建新的云企业网和专线网关加入已有云企业网的操作权限，可使用已有云企业网，也可以创建新的云企业网。

• 使用场景
  IAM身份使用完整专线连接能力，除了需要获取专线连接资源权限外，还需要获取把专线网关加入云企业网的操作权限，并且不限制IAM身份对云企业网资源的操作权限。如此专线网关加入已有云企业网，或新创建云企业网再加入专线网关，实现与同云企业网内其他云服务的互通。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "cen:CreateCen",
                  "cen:DescribeCen*",
                  "cen:AttachInstanceToCen",
                  "cen:DetachInstanceFromCen"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

示例六：允许专线网关加入已有中转路由器（TR），但不可操作中转路由器资源

此自定义策略可定义查询中转路由器列表和创建专线网关类型的网络实例连接的操作权限，仅可使用已有的中转路由器资源，不可操作中转路由器资源。

• 使用场景
  IAM身份使用专线连接能力，通过专线网关和中转路由器之间建立连接，实现专线连接连通的网络与中转路由器的私网互通，但又不希望IAM身份操作中转路由器资源。
• 策略语法

  {
      "Statement":[
          {
              "Effect":"Allow",
              "Action":[
                  "tr:DescribeTransitRouters",
                  "tr:CreateTransitRouterDirectConnectGatewayAttachment",
                  "tr:DescribeTransitRouterAttachments"
              ],
              "Resource":[
                  "*"
              ]
          }
      ]
  }
  

相关文档

更多示例请参见自定义策略（Demo）。