本文为您介绍IAM策略的类型及专线连接相关的策略,以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型,您可直接使用系统预设策略为IAM身份授权,系统预设策略若无法满足您的需求您可通过自定义策略精准授权,灵活管控账号资源。
系统预设策略
IAM平台已提前为您设置了关于专线连接的默认策略,您可为直接为IAM身份(IAM身份、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改。
专线连接系统预设策略
专线连接常用操作与系统策略的权限范围的关系
说明
因专线网关和虚拟接口暂不支持Project管理能力,因此给IAM身份授予DirectConnectFullAccess或DirectConnectReadOnlyAccess策略的项目范围权限,IAM身份仍无法查看专线网关和虚拟接口控制台及资源。
子用户如需查看物理专线及相关资源,有以下2种方式:
- 方式一:授予子用户系统预设权限DirectConnectFullAccess的全局权限,被授予权限的子用户可管理全局专线连接资源(物理专线、专线网关和虚拟接口)。
- 方式二:
- 同时授予子用户系统预设权限DirectConnectFullAccess和自定义读、写权限(示例一:自定义专线连接全局读写权限)的项目权限,被授予权限的子用户可管理指定项目的专线连接资源(物理专线、专线网关和虚拟接口)。
- 同时授予子用户系统预设权限DirectConnectReadOnlyAccess和自定义专线只读权限(示例二:自定义专线连接只读权限策略)的项目权限,被授予权限的子用户可查看指定项目的专线连接资源(物理专线、专线网关和虚拟接口)。
| 操作 | 全局DirectConnectFullAccess | 全局DirectConnectReadOnlyAccess | 项目DirectConnectFullAccess | 项目DirectConnectReadOnlyAccess |
|---|
| 申请接入物理专线 | √ | × | √ | × |
| 查询物理专线 | √ | √ | √ | √ |
| 修改物理专线 | √ | × | √ | × |
| 删除物理专线 | √ | × | √ | × |
| 创建专线网关 | √ | × | × | × |
| 查询专线网关 | √ | √ | × | × |
| 修改专线网关 | √ | × | × | × |
| 删除专线网关 | √ | × | × | × |
| 创建虚拟接口 | √ | × | × | × |
| 查询虚拟接口 | √ | √ | × | × |
| 修改虚拟接口 | √ | × | × | × |
| 删除虚拟接口 | √ | × | × | × |
专线连接功能依赖的角色或策略
| 功能 | 依赖云服务 | 所需角色/策略 |
|---|
查看监控详情 | 云监控 | - 全局权限:为IAM身份授予DirectConnectFullAccess策略或DirectConnectReadOnlyAccess策略的全局权限后,还需要授权云监控系统预设CloudMonitorReadOnlyAccess策略权限后才能查看专线网关、虚拟接口的监控信息。
- 项目权限:为IAM身份授予DirectConnectFullAccess策略和示例一:自定义专线连接全局读写权限的项目权限或DirectConnectReadOnlyAccess策略和示例二:自定义专线连接只读权限策略的项目权限后,还需要增加CloudMonitorReadOnlyAccess策略权限后才能查看专线网关、虚拟接口的监控信息。
|
专线网关加入中转路由器 | 中转路由器 | - 全局权限:如果专线网关需要加入中转路由器,为IAM身份授予DirectConnectFullAccess策略的全局权限后,还需要授权中转路由器实例的读权限和专线连接类型网络实例连接的读写权限。
- 方案一:为IAM身份授予中转路由器预设系统策略TransitRouterFullAccess策略权限(该权限为中转路由器全部资源的全读写操作)。
- 方案二:为IAM身份授予自定义策略,仅允许IAM身份创建IPsec连接时绑定已有的中转路由器,不可对中转路由器做任何操作。具体自定义策略内容,可参考示例六:允许专线网关加入已有中转路由器(TR),但不可操作中转路由器资源。
- 项目权限:如果专线网关需要加入中转路由器,为IAM身份授予DirectConnectFullAccess策略和示例一:自定义专线连接全局读写权限的项目权限后,还需要授权中转路由器实例的读权限和专线连接类型网络实例连接的读写权限。
- 方案一:为IAM身份授予中转路由器预设系统策略TransitRouterFullAccess策略权限(该权限为中转路由器全部资源的全读写操作)。
- 方案二:为IAM身份授予自定义策略,仅允许IAM身份创建IPsec连接时绑定已有的中转路由器,不可对中转路由器做任何操作。具体自定义策略内容,可参考示例六:允许专线网关加入已有中转路由器(TR),但不可操作中转路由器资源。
|
专线网关加入云企业网 | 云企业网 | - 全局权限:如果专线网关需要加入云企业网,为IAM身份授予DirectConnectFullAccess策略的全局权限后,还需要授权云企业网实例的读权限和专线网关类型网络实例连接的读写权限。
- 方案一:为IAM身份授予云企业网预设系统策略CENFullAccess权限(该策略为云企业网全部资源的全读写权限)。
- 方案二:为IAM身份授予自定义策略,仅允许IAM身份把专线网关加入已有的云企业网,不可对云企业网做任何操作。具体自定义策略内容,可参考示例四:允许专线网关加入云企业网(CEN)。
- 项目权限:如果专线网关需要加入云企业网,为IAM身份授予DirectConnectFullAccess策略和示例二:自定义专线连接只读权限策略的项目权限后,还需要授权云企业网实例的读权限和专线网关类型网络实例连接的读写权限。
- 方案一:为IAM身份授予云企业网预设系统策略CENFullAccess权限(该策略为云企业网全部资源的全读写权限)。
- 方案二:为IAM身份授予自定义策略,仅允许IAM身份把专线网关加入已有的云企业网,不可对云企业网做任何操作。具体自定义策略内容,可参考示例四:允许专线网关加入云企业网(CEN)。
|
专线连接产品系统预设策略详情
DirectConnectFullAccess 策略详情
说明
被授予此策略后,除了获取专线连接产品的权限外,还可获取专线网关到云企业网(CEN)的跨账号授权操作权限。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:*",
"cen:*Grant*",
"cen:*Revoke*Cen",
"vpc:*InternetTunnel*"
],
"Resource": [
"*"
]
}
]
}
DirectConnectReadOnlyAccess 策略详情
说明
被授予此权限后,除了获取专线连接产品的查看权限外,还可获取云企业网(CEN)的跨账号授权的查询权限。
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"directconnect:Describe*",
"cen:Describe*Grant*",
"vpc:DescribeInternetTunnel*"
],
"Resource": [
"*"
]
}
]
}
自定义策略
如果IAM设置的默认策略无法满足您的业务需求,您可以根据实际情况,创建您自己的IAM策略。自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。
- 基于身份的策略:与IAM身份(用户、用户组或角色)绑定的策略称为“基于身份的策略”,用于为指定身份赋予访问云资源的权限,大部分场景仅需使用基于身份的策略。
- 基于资源的策略:与资源(非IAM身份)绑定的策略称为“基于资源的策略”,用于描述资源可被何种身份进行何种访问。目前火山引擎支持以下两种资源使用基于资源的策略:
- 访问控制角色: 角色上基于资源的策略也称为信任策略(Trust policy)。
- 对象存储桶: 存储桶上基于资源的策略也称为桶策略。
新建自定义策略
- 可视化策略编辑器:提供所见即所得的可视化策略编辑界面,无需深入了解策略语法,在界面中选择效果、服务、操作、资源、条件等策略内容,自动生成策略语法,优先推荐使用。
- JSON编辑器:提供JSON语法的编辑器,您需根据策略语法规则自定义生成策略,适用于对策略语法较为熟悉的用户。
说明
目前可视化编辑器支持的产品范围有限,若您使用的服务未支持可视化策略编辑,您可切换至JSON编辑器编辑策略。当您使用JSON编辑器编辑语法后,切换至可视化编辑器可能不被识别,未识别不代表策略内容一定错误,若您确认策略语法无误,正常提交策略即可。
自定义策略语法
自定义策略语法通过策略元素定义策略的权限,自定义“基于身份的策略”和“基于资源的策略”时,策略元素有所区别。
- 更多策略语法的介绍,请参见IAM策略语法。
- 自定义策略时特定位置可使用通配符或变量,从而定义出更灵活、更复杂的权限规则。更多介绍,请参见变量与通配符。
- 我们为您提供使用专线连接常用的一些自定义策略示例供您参考,具体请参见自定义策略语法示例。