本文为您介绍IAM策略的类型及弹性伸缩相关的策略,以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型,您可直接使用系统预设策略为IAM身份授权,但系统预设策略有限若无法满足您的需求,您可通过自定义策略精准授权,灵活管控账号资源。
IAM平台已提前为您设置了关于弹性伸缩的默认策略,您可为直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改。
| 系统预设策略名称 | 描述 |
|---|---|
| AutoScalingFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内弹性伸缩功能的 管理 权限,适用于通过API使用弹性伸缩的场景。 |
| AutoScalingReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内弹性伸缩功能的 只读 权限,适用于通过API使用弹性伸缩的场景。 |
| AutoScalingConsoleFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内弹性伸缩功能的 管理 权限、以及相关云产品在弹性伸缩控制台的 只读 权限,适用于通过控制台使用弹性伸缩的场景。 |
| AutoScalingConsoleReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内弹性伸缩功能的 只读 权限、以及相关云产品在弹性伸缩控制台的 只读 权限,适用于通过控制台使用弹性伸缩的场景。 |
说明
如果IAM身份只授予 只读 权限,则只可查看功能配置情况(例如查询伸缩组/伸缩配置来源详情等),不可对其进行任何操作。
| 操作 | AutoScalingFullAccess | AutoScalingReadOnlyAccess | AutoScalingConsoleFullAccess | AutoScalingConsoleReadOnlyAccess |
|---|---|---|---|---|
| 管理伸缩组 | √ | × | √ | × |
| 查询伸缩组 | √ | √ | √ | √ |
| 查询负载均衡/实例启动模版 | × | × | √ | √ |
| 管理伸缩配置来源 | √ | × | √ | × |
| 查询伸缩配置来源 | √ | √ | √ | √ |
| 查询伸缩配置所需的VPC等云产品 | × | × | √ | √ |
| 设置实例保护 | √ | × | √ | × |
| 添加/移出/删除实例 | √ | × | √ | × |
| 查询实例 | × | × | √ | √ |
| 管理伸缩规则 | √ | × | √ | × |
| 查询伸缩规则 | √ | √ | √ | √ |
| 管理生命周期挂钩 | √ | × | √ | × |
| 查询生命周期挂钩 | √ | √ | √ | √ |
| 管理消息通知 | √ | × | √ | × |
| 配置消息接收 | × | × | × | × |
| 查询伸缩日志 | √ | √ | √ | √ |
| 管理垂直伸缩 | √ | × | √ | × |
| 查询垂直伸缩 | √ | √ | √ | √ |
| 查询垂直伸缩所需的实例规格 | × | × | √ | √ |
| 功能 | 依赖云服务 | 所需角色 | 所需策略 |
|---|---|---|---|
| 伸缩组绑定其他云产品 | 负载均衡CLB | 首次使用弹性伸缩服务时,平台会指引您进行“跨服务访问授权”-ServiceRoleForAutoScaling(通过API调用时平台将自动授权),授权成功后即允许弹性伸缩服务使用相关云产品,例如增删云服务器/公网IP、获取负载均衡信息等。 | 为IAM用户授予管理权限后,即可操作弹性伸缩的全部功能。但如果您需要管理其他云产品,则还需要具备相关云产品的管理权限,例如创建负载均衡CLB需增加CLBFullAccess策略。 |
| 负载均衡ALB | |||
| 伸缩配置来源 | 云服务器 | ||
| 公网IP | |||
| 接收消息通知 | 无 | 为IAM用户授予管理权限后,还需添加MessageCenterFullAccess策略后才能配置消息接收方式和接收人。 | |
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"auto_scaling:*"
],
"Resource": [
"*"
]
}
]
}
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"auto_scaling:Get*",
"auto_scaling:*Describe*",
"auto_scaling:*List*"
],
"Resource": [
"*"
]
}
]
}
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:Get*",
"ecs:*Describe*",
"ecs:*List*",
"clb:Get*",
"clb:*Describe*",
"clb:*List*",
"vpc:Get*",
"vpc:*Describe*",
"vpc:*List*",
"storage_ebs:Get*",
"storage_ebs:*Describe*",
"storage_ebs:*List*",
"rds_mysql:Get*",
"rds_mysql:*Describe*",
"rds_mysql:*List*",
"volc_observe:Get*",
"volc_observe:*Describe*",
"volc_observe:*List*",
"auto_scaling:*"
],
"Resource": [
"*"
]
}
]
}
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:Get*",
"ecs:*Describe*",
"ecs:*List*",
"clb:Get*",
"clb:*Describe*",
"clb:*List*",
"vpc:Get*",
"vpc:*Describe*",
"vpc:*List*",
"storage_ebs:Get*",
"storage_ebs:*Describe*",
"storage_ebs:*List*",
"rds_mysql:Get*",
"rds_mysql:*Describe*",
"rds_mysql:*List*",
"volc_observe:Get*",
"volc_observe:*Describe*",
"volc_observe:*List*",
"auto_scaling:Get*",
"auto_scaling:*Describe*",
"auto_scaling:*List*"
],
"Resource": [
"*"
]
}
]
}
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"ecs:DescribeInstances",
"ecs:GetInstance",
"ecs:CreateInstances",
"ecs:DeleteInstance",
"ecs:DeleteInstances",
"ecs:DescribeInstanceTypes",
"ecs:DescribeKeyPair",
"ecs:DescribeImages",
"ecs:DescribeZones",
"ecs:BindAssumeRole",
"ecs:ModifyInstanceSpec",
"ecs:StopInstance",
"ecs:StartInstance",
"ecs:DescribeAvailableResource",
"ecs:DescribeHpcCluster",
"ecs:CreateTags",
"ecs:DeleteTags",
"ecs:DescribeCommands",
"ecs:InvokeCommand",
"ecs:DescribeInvocations",
"ecs:DescribeLaunchTemplateVersions",
"ecs:CreateScheduledInstances",
"ecs:DescribeScheduledInstances",
"ecs:DescribeScheduledInstanceStock",
"vpc:AllocateEipAddress",
"vpc:AssociateEipAddress",
"vpc:DisassociateEipAddress",
"vpc:ReleaseEipAddress",
"vpc:DescribeVpcs",
"vpc:DescribeEipAddresses",
"vpc:DescribeSubnetAttributes",
"vpc:InnerGetLimitFromKeys",
"vpc:DescribeSubnets",
"vpc:DescribeBandwidthPackages",
"vpc:RemoveBandwidthPackageIp",
"clb:DescribeLoadBalancers",
"clb:DescribeServerGroups",
"clb:DescribeListenerHealth",
"clb:DescribeListeners",
"clb:AddServerGroupBackendServers",
"clb:RemoveServerGroupBackendServers",
"clb:DescribeServerGroupAttributes",
"alb:DescribeLoadBalancers",
"alb:DescribeServerGroups",
"alb:AddServerGroupBackendServers",
"alb:RemoveServerGroupBackendServers",
"alb:DescribeServerGroupAttributes",
"alb:DescribeListenerAttributes",
"alb:DescribeListeners",
"alb:DescribeListenerHealth",
"volc_observe:GetMetricData",
"rds_mysql:ListDBInstances",
"rds_mysql:DescribeDBInstance",
"rds_mysql:CreateDBInstanceIPList",
"rds_mysql:ListDBInstanceIPLists",
"rds_mysql:ModifyDBInstanceIPList",
"rds_mysql:DeleteDBInstanceIPList",
"rds_mysql:DescribeAllowLists",
"rds_mysql:DescribeAllowListDetail",
"rds_mysql:DeleteAllowList",
"rds_mysql:ModifyAllowList",
"rds_mysql:AssociateAllowList",
"rds_mysql:DisassociateAllowList",
"rds_mysql:CreateAllowList",
"volc_observe:CreateRule",
"volc_observe:DeleteRulesByIds",
"volc_observe:UpdateRule",
"volc_observe:ListRulesByIds",
"storage_ebs:DescribeVolumes"
],
"Resource": [
"*"
]
}
]
}
| 类型 | 说明 | 相关文档 |
|---|---|---|
自定义策略类型 | 自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。 | |
自定义策略语法 | 自定义策略语法通过策略元素定义策略的权限,自定义“基于身份的策略”和“基于资源的策略”时,策略元素有所区别。 | |
| 新建自定义策略 | 火山引擎主账号或拥有访问控制管理权限的子用户进行授权时,系统预设策略无法满足需求,可通过自定义策略精细化定义权限。 | 新建自定义策略 |
常见系统预设策略:文档中介绍了部分常用的系统预设策略,以帮助您更快速的了解、使用系统策略进行权限管控。