You need to enable JavaScript to run this app.
导航
使用子用户访问ALB
最近更新时间:2024.02.29 14:48:21首次发布时间:2023.07.26 15:38:20

本文为您介绍如何通过访问控制创建一个子用户、为子用户授予应用型负载均衡(ALB)的访问权限,并使用该子用户访问 ALB。

创建子用户并授权

您可参考访问控制中的用户管理创建用户并授权完成子用户的创建工作、授权工作。成功创建子用户后,您可以在用户列表查看所有子用户。

ALB 策略

新建的子用户、用户组、角色,默认情况下均没有任何权限。通过主账号为其关联策略后,子用户、用户组、角色才具有某些云服务资源的 OpenAPI 调用权限和控制台的操作权限。IAM支持两种类型的策略:系统预设策略和自定义策略。

  • 系统预设策略:IAM设置了关于应用型负载均衡的默认策略,若需要向子用户、用户组或角色添加权限,您可以直接关联系统预设策略。

    策略名称

    描述

    支持的操作

    ALBFullAccess

    应用型负载均衡(ALB)全部管理权限。

    应用型负载均衡的管理权限,包括创建、查看、删除相关资源等操作。

    ALBReadOnlyAccess

    应用型负载均衡(ALB)只读访问权限 。

    应用型负载均衡的只读权限,只可查看相关资源。

  • 自定义策略:如果 IAM 的默认策略无法满足您的业务需求,您可以创建您自己的 IAM 策略。应用型负载均衡的自定义策略通过 JSON 格式的 PolicyDocument 表达,由以下几个元素组成:

    元素

    说明

    Statement

    该策略的声明,可以包含单条语句或由多条语句组成的数组。

    • 单独的语句块需要使用用大括号 { } 括起。
    • 多条语句组成的数组需要使用方括号 [ ] 括起。

    Effect

    该策略的声明所产生的结果,结果为允许或拒绝。

    • Allow:允许。
    • Deny:拒绝。

    Action

    该策略的具体操作,由云服务的英文名和云服务的英文操作两部分组成。格式为:{service}:{action}

    • 应用型负载均衡服务的 service 为 alb ,action 为 OpenAPI 的接口名称,具体可参见API概览
    • Action 可以是一个或者多个具体操作,由数组形式表达,支持"*"及"?"两种通配符。如:"Action":["alb:``DescribeZones``","iam:ListRoles"]

    Resource

    具体操作所生效的资源。资源以 Trn 的形式配置,格式为:trn: {service}:{region}:{account}: {resourceType}/{id}

    • trn:固定前缀
    • {service}:云服务的英文名,应用型负载均衡服务的 service 为 alb 。
    • {region}:资源所在的地域(Region),对于不区分地域的全局资源,此参数值不填写。
    • {account}:资源所属的账号 ID。
    • {resourceType}:资源的类型,ALB的资源类型如下:
      • loadbalancer:实例。
      • listener:监听器。
      • servergroup:服务器组。
      • customizedcfg:个性化配置。
      • certificate;证书。
      • acl:访问控制。
    • {id}:资源的ID。

ALB 策略授权

在访问控制服务的控制台中,您可以选择策略的作用范围。可选项包括:

  1. 全局授权:表示对本服务下的所有资源都生效。
  2. 项目授权:表示只对指定的项目所包含的资源生效。

说明

项目是火山引擎用来对不同产品下的资源进行分组管理的一项功能。您可以在 资源管理 菜单的 项目 页面创建项目,并将 ALB 中的资源移入到项目进行分组管理。更多信息,请参见使用项目来管理 ALB 资源

相关文档

用户管理
用户组管理
策略管理
子用户FAQ