导航
设置项目维度的GA资源访问控制
最近更新时间:2025.08.14 14:41:17首次发布时间:2025.08.14 14:41:17
文档反馈
问问助手需求背景
您可能需要利用火山引擎的访问控制(IAM)功能进行项目维度授权,仅允许用户访问特定项目内的全球加速资源(加速器、公网带宽包)。在此情形下,您可以参考本文中的操作步骤进行配置。
操作概览
配置操作整体包含以下两个步骤:
添加权限策略。
注意
以下任一场景都需要同时配置两条权限策略。名称包含Project的策略针对具有项目归属的资源的操作。名称包含Common的策略针对与项目归属无关但有依赖关系的操作。
将权限策略授予授权对象。
根据您的需求按以下对应步骤操作:
| 场景 | 添加权限策略(步骤1) | 对策略授权(步骤2) |
|---|---|---|
| 添加项目维度资源的读写权限 | GAProjectAccess 策略 | 授权给对象,指定特定项目 |
| GACommonAccess 策略 | 授权给对象,不指定特定项目 | |
| 添加项目维度资源的只读权限 | GAProjectReadOnlyAccess 策略 | 授权给对象,指定特定项目 |
| GACommonReadOnlyAccess 策略 | 授权给对象,不指定特定项目 |
操作步骤
添加项目维度资源的读写权限
步骤 1:添加权限策略 GAProjectAccess、GACommonAccess
登录火山引擎访问控制控制台。
在左侧导航栏,点击 权限策略。
点击 新建自定义策略。
- 在 策略名 字段中,输入
GAProjectAccess。
- 点击 JSON编辑器 标签页,在编辑器中粘贴以下JSON格式的策略描述符,然后点击 提交。重复同样步骤,添加名为
GACommonAccess的权限策略。
GAProjectAccess 策略
{ "Statement": [ { "Effect": "Allow", "Action": [ "ga:CreateAccelerator", "ga:DeleteAccelerator", "ga:UpdateAccelerator", "ga:DescribeAccelerator", "ga:ListAccelerators", "ga:TerminateAccelerator", "ga:RenewAccelerator", "ga:UpdateAcceleratorRenewType", "ga:PublicBandwidthPackageBindAccelerator", "ga:PublicBandwidthPackageUnbindAccelerator", "ga:AcceleratorReplacePublicBandwidthPackage", "ga:CreateBasicAccelerator", "ga:DeleteBasicAccelerator", "ga:UpdateBasicAccelerator", "ga:DescribeBasicAccelerator", "ga:ListBasicAccelerators", "ga:RenewBasicAccelerator", "ga:TerminateBasicAccelerator", "ga:UpdateBasicAcceleratorRenewType", "ga:PublicBandwidthPackageBindBasicAccelerator", "ga:PublicBandwidthPackageUnbindBasicAccelerator", "ga:BasicAcceleratorReplacePublicBandwidthPackage", "ga:CreatePublicBandwidthPackage", "ga:UpdatePublicBandwidthPackage", "ga:DescribePublicBandwidthPackage", "ga:ListPublicBandwidthPackages", "ga:TerminatePublicBandwidthPackage", "ga:RenewPublicBandwidthPackage", "ga:UpdatePublicBandwidthPackageRenewType", "ga:PublicBandwidthPackageBindBasicAccelerator", "ga:DescribeUpdatePublicBandwidthPackagePrice" ], "Resource": [ "*" ] } ] }
GACommonAccess 策略
{ "Statement": [ { "Effect": "Allow", "Action": [ "ga:*Listener*", "ga:*Endpoint*", "ga:*IPSet*", "ga:*CRB*", "ga:*Crb*", "ga:*CDB*", "ga:*Account*", "ga:*GAResourceTag*", "ga:*Statistic*", "ga:*Statics*", "ga:*User*", "ga:*Limit", "ga:*Quota", "ga:Check*", "ga:Open*", "ga:Calculate*", "ga:*Region*", "ga:*Config*", "ga:*Permission*", "ga:*Dimension*", "ga:*Status*", "ga:*Edge*", "ga:*IP*", "ga:DescribeGuaranteedRatio", "ga:BindBandwidthPackage", "ga:ListBandwidthPackages", "ga:CreateBandwidthPackage", "ga:RenewBandwidthPackage", "ga:DeleteBandwidthPackage", "ga:UpdateBandwidthPackageRenewType", "ga:ReplaceBandwidthPackage", "ga:ReplacePublicBandwidthPackage", "ga:ReclaimBandwidthPackage", "ga:TerminateBandwidthPackage", "ga:ListCrossDomainBandwidthForSale", "ga:ListEdxInstances", "ga:ListAccelerateAreas", "ga:*AllAccelerator*", "ga:ListVipGroups", "ga:*UpdateAcceleratorSpec*" ], "Resource": [ "*" ] } ] }
步骤 2:对授权对象进行授权
在访问控制控制台中,在左侧导航栏点击 权限策略,找到 GAProjectAccess 策略,在 操作 列点击 授权。
在 限制到项目资源 字段点击 是,然后选择您授权的资源所在的项目。
在 授权身份 选项内,根据您授权的对象,选择 用户、用户组或角色。
点击 提交。
用同样的方法将 GACommonAccess 策略授权给相关对象。授权时,在 限制到项目资源 字段点击 否。
添加项目维度资源的只读权限
步骤 1:添加权限策略 GAProjectReadOnlyAccess、GACommonReadOnlyAccess
登录火山引擎访问控制控制台。
在左侧导航栏,点击 权限策略。
点击 新建自定义策略。
在 策略名 字段中,输入
GAProjectReadOnlyAccess。
点击 JSON编辑器 标签页,在编辑器中粘贴以下JSON格式的策略描述符,然后点击 提交。重复同样步骤,添加名为
GACommonReadOnlyAccess的权限策略。
GAProjectReadOnlyAccess
{ "Statement": [ { "Effect": "Allow", "Action": [ "ga:DescribeAccelerator", "ga:ListAccelerators", "ga:DescribeBasicAccelerator", "ga:ListBasicAccelerators", "ga:DescribePublicBandwidthPackage", "ga:ListPublicBandwidthPackages", "ga:DescribeUpdatePublicBandwidthPackagePrice" ], "Resource": [ "*" ] } ] }
GACommonReadOnlyAccess
{ "Statement": [ { "Effect": "Allow", "Action": [ "ga:DescribeListener", "ga:ListListeners", "ga:DescribeListenerLogs", "ga:ListEndpoint*", "ga:DescribeEndpoint*", "ga:DescribeBasicEndpoint*", "ga:ListBasicEndpoint*", "ga:Get*", "ga:DescribeIPSet", "ga:ListIPSet*", "ga:DescribeBasicIPSet", "ga:ListBasicIPSets", "ga:DescribeUpdateCRBPrice", "ga:ListUnboundCDB*", "ga:ListCDBTemplateNames", "ga:CheckAccount*", "ga:DescribeAccount*", "ga:ListGAResourceTags", "ga:*Statistic*", "ga:*Statics*", "ga:*User*", "ga:*Limit", "ga:*Quota", "ga:Check*", "ga:Calculate*", "ga:*Region*", "ga:*Config*", "ga:*Permission*", "ga:*Dimension*", "ga:*Status*", "ga:*Edge*", "ga:*SourceIP*", "ga:ListBasicAccelerateIPs", "ga:ListInternalIPs", "ga:DescribeGuaranteedRatio", "ga:ListBandwidthPackages", "ga:ListCrossDomainBandwidthForSale", "ga:ListEdxInstances", "ga:ListAccelerateAreas", "ga:*AllAccelerator*", "ga:ListVipGroups", "ga:DescribeUpdateAcceleratorSpecPrice" ], "Resource": [ "*" ] } ] }
步骤 2:对授权对象进行授权
在访问控制控制台中,在左侧导航栏点击 权限策略,找到 GAProjectReadOnlyAccess 策略,在 操作 列点击 授权。
在 限制到项目资源 字段点击 是,然后选择您授权的资源所在的项目。
在 授权身份 选项内,根据您授权的对象,选择 用户、用户组或角色。
点击 提交。
用同样的方法将 GACommonAccess 策略授权给相关对象。授权时,在 限制到项目资源 字段点击 否。
