You need to enable JavaScript to run this app.
导航
IPv6网关IAM策略类型
最近更新时间:2024.05.06 15:23:10首次发布时间:2024.05.06 15:23:10

本文为您介绍IAM策略的类型及IPv6网关相关的策略,以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型,您可直接使用系统预设策略为IAM身份授权,但系统预设策略有限若无法满足您的需求,您可通过自定义策略精准授权,灵活管控账号资源。

系统预设策略

IAM平台已提前为您设置了关于IPv6网关的默认策略,您可为直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改

IPv6网关系统预设策略

系统预设策略名称描述
IPv6GatewayFullAccess被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内IPv6网关功能的 管理 权限。
IPv6GatewayReadOnlyAccess被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内IPv6网关功能的 只读 权限。

IPv6GatewayFullAccess

"Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Ipv6Address*",
                "vpc:*Ipv6Gateway*",
                "vpc:*Ipv6EgressOnlyRule*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

IPv6GatewayReadOnlyAccess

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Ipv6Address*",
                "vpc:*Ipv6Gateway*",
                "vpc:*Ipv6EgressOnlyRule*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

IPv6网关常用操作与系统策略的关系

操作IPv6GatewayFullAccessIPv6GatewayReadOnlyAccess
创建IPv6网关×
查询IPv6网关
修改IPv6网关×
删除IPv6网关×
开通IPv6公网带宽×
查询IPv6公网带宽
修改IPv6公网带宽×
删除IPv6公网带宽×
创建仅主动出规则×
查询仅主动出规则
修改仅主动出规则×
删除仅主动出规则×

IPv6网关功能依赖的角色或策略

功能依赖云服务所需角色/策略
查看IPv6网关监控信息云监控为IAM用户授予IPv6GatewayFullAccess或IPv6GatewayReadOnlyAccess权限后,需要增加CloudMonitorReadOnlyAccess后才能查看IPv6网关的监控信息。
创建IPv6网关私有网络需要授予查询私有网络(DescribeVpcs)的权限才可创建IPv6网关。
开通IPv6公网带宽网卡需要授予查询网卡(DescribeNetworkInterfaces)的权限才能获取IPv6地址开通IPv6公网带宽。
创建仅主动出规则云服务器需要授予查询云服务器实例(DescribeInstances)的权限才能创建仅主动出规则。

自定义策略

如果IAM设置的默认策略无法满足您的业务需求,您可以根据实际情况,创建您自己的IAM策略。自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。

  • 基于身份的策略:与IAM身份(用户、用户组或角色)绑定的策略称为”基于身份的策略“,用于为指定身份赋予访问云资源的权限,大部分场景仅需使用基于身份的策略。
  • 基于资源的策略:与资源(非IAM身份)绑定的策略称为”基于资源的策略“,用于描述资源可被何种身份进行何种访问。目前火山引擎支持以下两种资源使用基于资源的策略:
    • 访问控制角色:角色上基于资源的策略也称为信任策略(Trust policy)。
    • 对象存储桶:存储桶上基于资源的策略也称为桶策略

新建自定义策略

火山引擎为您提供了两种新建自定义策略的方式,介绍如下:

  • 可视化策略编辑器:提供所见即所得的可视化策略编辑界面,无需深入了解策略语法,在界面中选择效果、服务、操作、资源、条件等策略内容,自动生成策略语法,优先推荐使用。
  • JSON编辑器:提供JSON语法的编辑器,您需根据策略语法规则自定义生成策略,适用于对策略语法较为熟悉的用户。

说明

目前可视化编辑器支持的产品范围有限,若您使用的服务未支持可视化策略编辑,您可切换至JSON编辑器编辑策略。当您使用JSON编辑器编辑语法后,切换至可视化编辑器可能不被识别,未识别不代表策略内容一定错误,若您确认策略语法无误,正常提交策略即可。

自定义策略语法

自定义策略语法通过策略元素定义策略的权限,自定义“基于身份的策略”和“基于资源的策略”时,策略元素有所区别。

  • 更多策略语法的介绍,请参见IAM策略语法
  • 自定义策略时特定位置可使用通配符或变量,从而定义出更灵活、更复杂的权限规则。更多介绍,请参见变量与通配符
  • 我们为您提供使用IPv6网关常用的一些自定义策略示例供您参考,具体请参见自定义策略语法示例