最近更新时间:2024.04.23 10:30:22
首次发布时间:2023.07.07 09:53:47
如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的中转路由器相关的自定义策略示例,供您参考。
自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法。
如果希望子用户能执行中转路由器资源的所有管理操作(包括增删改查),那么除了授予子用户系统预设策略TransitRouterFullAccess,您还需要授权关联服务的资源管理权限,自定义策略如下:
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:Describevpc*", "vpc:DescribeSubnet*", "vpc:DescribeNetworkInterfaces", "vpn:CreateVpnConnection", "vpn:DescribeVpnConnections", "directconnect:DescribeDirectConnectGateways", "Volc_Observe:List*", "Volc_Observe:Get*" ], "Resource": [ "*" ] } ] }
如果仅允许子用户查看和更新中转路由器资源,可以参考以下示例为子用户授权自定义策略:
{ "Statement": [ { "Effect": "Allow", "Action": [ "transitrouter:Describe*", "transitrouter:Modify*" ], "Resource": [ "trn:transitrouter:*:210005****:*/*" ] } ] }
拒绝策略需要配合其他策略一起使用才能生效。用户被授权的策略中同时包含Allow和Deny配置时,Deny配置优先。
如果您希望子用户可以进行除删除中转路由器资源外的所有操作时,可以为子用户授权系统预设策略TransitRouterFullAccess和以下自定义策略:
{ "Statement": [ { "Effect": "Deny", "Action": [ "transitrouter:Delete*" ], "Resource": [ "trn:transitrouter:*:210005****:*/*" ] } ] }
参考以下配置为子用户授权标签功能的使用权限。
{ "Statement":[ { "Effect":"Allow", "Action":[ "transitrouter:TagResources", "transitrouter:UntagResources", "transitrouter:ListTagsForResources" ], "Resource":[ "*" ] } ] }
更多示例请参见自定义策略(Demo)。