使用子用户访问ALB

本文为您介绍如何通过访问控制创建一个子用户、为子用户授予应用型负载均衡（ALB）的访问权限，并使用该子用户访问 ALB。

创建子用户并授权

您可参考访问控制中的用户管理、创建用户并授权完成子用户的创建工作、授权工作。成功创建子用户后，您可以在用户列表查看所有子用户。

ALB 策略

新建的子用户、用户组、角色，默认情况下均没有任何权限。通过主账号为其关联策略后，子用户、用户组、角色才具有某些云服务资源的 OpenAPI 调用权限和控制台的操作权限。IAM支持两种类型的策略：系统预设策略和自定义策略。

• 系统预设策略：IAM设置了关于应用型负载均衡的默认策略，若需要向子用户、用户组或角色添加权限，您可以直接关联系统预设策略。

  策略名称	描述	支持的操作
  ALBFullAccess	应用型负载均衡(ALB)全部管理权限。	应用型负载均衡的管理权限，包括创建、查看、删除相关资源等操作。
  ALBReadOnlyAccess	应用型负载均衡（ALB）只读访问权限 。	应用型负载均衡的只读权限，只可查看相关资源。

• 自定义策略：如果 IAM 的默认策略无法满足您的业务需求，您可以创建您自己的 IAM 策略。应用型负载均衡的自定义策略通过 JSON 格式的 PolicyDocument 表达，由以下几个元素组成：

  元素	说明
  Statement	该策略的声明，可以包含单条语句或由多条语句组成的数组。 单独的语句块需要使用用大括号 { } 括起。 多条语句组成的数组需要使用方括号 [ ] 括起。
  Effect	该策略的声明所产生的结果，结果为允许或拒绝。 Allow：允许。 Deny：拒绝。
  Action	该策略的具体操作，由云服务的英文名和云服务的英文操作两部分组成。格式为：{service}:{action}。 应用型负载均衡服务的 service 为 alb ，action 为 OpenAPI 的接口名称，具体可参见API概览。 Action 可以是一个或者多个具体操作，由数组形式表达，支持"*"及"?"两种通配符。如："Action":["alb:``DescribeZones``","iam:ListRoles"]
  Resource	具体操作所生效的资源。资源以 Trn 的形式配置，格式为：trn: {service}:{region}:{account}: {resourceType}/{id}。 trn：固定前缀 {service}：云服务的英文名，应用型负载均衡服务的 service 为 alb 。 {region}：资源所在的地域（Region），对于不区分地域的全局资源，此参数值不填写。 {account}：资源所属的账号 ID。 {resourceType}：资源的类型，ALB的资源类型如下： loadbalancer：实例。 listener：监听器。 servergroup：服务器组。 customizedcfg：个性化配置。 certificate；证书。 acl：访问控制。 {id}：资源的ID。

ALB 策略授权

在访问控制服务的控制台中，您可以选择策略的作用范围。可选项包括：

1. 全局授权：表示对本服务下的所有资源都生效。
2. 项目授权：表示只对指定的项目所包含的资源生效。

相关文档

用户管理
用户组管理
策略管理
子用户FAQ