最近更新时间:2024.03.22 08:32:13
首次发布时间:2024.03.22 08:32:13
本文为您介绍IAM策略的类型及私网连接相关的策略,以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型,您可直接使用系统预设策略为IAM身份授权,但系统预设策略有限若无法满足您的需求,您可通过自定义策略精准授权,灵活管控账号资源。
IAM平台已提前为您设置了关于私网连接的默认策略,您可为直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改。
说明
PrivateLinkFullAccess或PrivateLinkReadOnlyAccess权限。PrivateLinkEndpointFullAccess或PrivateLinkEndpointReadOnlyAccess权限,为服务提供方账号授权PrivateLinkEndpointServiceFullAccess或PrivateLinkEndpointServiceReadOnlyAccess权限。| 系统预设策略名称 | 描述 | 策略类型 |
|---|---|---|
| PrivateLinkFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部私网连接资源的管理权限,包括创建、查看、删除相关资源等操作。 | 策略 |
| PrivateLinkReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部私网连接资源的查看权限。如果IAM身份只授予该权限,则只可查看私网连接资源,不可对私网连接资源进行任何操作,也不可查看其他未授权的产品。 | 策略 |
| PrivateLinkEndpointServiceFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部终端节点服务资源的管理权限,包括创建、查看、删除相关资源等操作。 | 策略 |
| PrivateLinkEndpointServiceReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部终端节点服务资源的查看权限。如果IAM身份只授予该权限,则只可查看终端节点服务资源,不可对终端节点服务资源进行任何操作,也不可查看终端节点资源和其他未授权的产品。 | 策略 |
| PrivateLinkEndpointFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部终端节点资源的管理权限,包括创建、查看、删除相关资源等操作。 | 策略 |
| PrivateLinkEndpointReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部终端节点资源的查看权限。如果IAM身份只授予该权限,则只可查看终端节点资源,不可对终端节点资源进行任何操作,也不可查看终端节点服务资源和其他未授权的产品。 | 策略 |
| 控制台功能 | 依赖云服务 | 所需角色/策略 |
|---|---|---|
| 查看私网连接监控详情 | 云监控 | 为IAM用户授予PrivateLinkFullAccess或PrivateLinkReadOnlyAccess权限后,需要增加CloudMonitorReadOnlyAccess后才能查看私网连接资源的监控信息。 |
说明
被授予此权限后,可获取权限范围内全部私网连接资源的管理权限和私有网络(VPC)实例、子网、安全组、负载均衡(CLB)实例的查看权限。
{ "Statement": [ { "Effect": "Allow", //允许对指定资源执行该策略授权的所有操作 "Action": [ "privatelink:*", //私网连接服务的所有操作 "vpc:DescribeVpcs", //查看VPC实例列表 "vpc:DescribeSubnets", //查看子网列表 "vpc:DescribeSecurityGroups", //查看安全组列表 "clb:DescribeLoadBalancers" //查看CLB实例列表 ], "Resource": [ "*" //所有资源 ] } ] }
说明
被授予此权限后,可获取权限范围内全部私网连接资源的查看权限和私有网络(VPC)实例、子网、安全组、负载均衡(CLB)实例的查看权限。
{ "Statement": [ { "Effect": "Allow", //允许对指定资源执行该策略授权的所有操作 "Action": [ "privatelink:Describe*", //私网连接服务的所有查询操作 "vpc:DescribeVpcs", //查看VPC实例列表 "vpc:DescribeSubnets", //查看子网列表 "vpc:DescribeSecurityGroups", //查看安全组列表 "clb:DescribeLoadBalancers" //查看CLB实例列表 ], "Resource": [ "*" //所有资源 ] } ] }
说明
被授予此权限后,可获取权限范围内全部终端节点服务资源的管理权限和负载均衡(CLB)实例的查看权限。
{ "Statement": [ { "Effect": "Allow", //允许对指定资源执行该策略授权的所有操作 "Action": [ "privatelink:CreateUniqueResourceTypeVpcEndpointService", //创建RDS类型服务资源的终端节点服务 "privatelink:CreateVpcEndpointService", //创建CLB类型服务资源的终端节点服务 "privatelink:DescribeVpcEndpointServices", //查看终端节点服务列表 "privatelink:ModifyUniqueResourceTypeVpcEndpointServiceAttributes", //修改RDS类型服务资源终端节点服务的信息 "privatelink:ModifyVpcEndpointServiceAttributes", //修改CLB类型服务资源终端节点服务的信息 "privatelink:DescribeVpcEndpointServiceAttributes", //查看接口终端节点服务详情 "privatelink:AttachResourceToVpcEndpointService", //添加服务资源 "privatelink:DescribeVpcEndpointServiceResources", //查看服务资源列表 "privatelink:DetachResourceFromVpcEndpointService", //移除服务资源 "privatelink:DeleteVpcEndpointService", //删除终端节点服务 "privatelink:DescribeVpcEndpointConnections", //查看终端节点连接列表 "privatelink:EnableVpcEndpointConnection", //接受终端节点连接 "privatelink:DisableVpcEndpointConnection", //拒绝终端节点 "privatelink:AddPermissionToVpcEndpointService", //添加服务白名单 "privatelink:RemovePermissionFromVpcEndpointService", //删除服务白名单 "privatelink:DescribeVpcEndpointServicePermissions", //查看服务白名单列表 "privatelink:DescribePrivateLinkAvailableZones", //查看终端节点服务支持的可用区列表 "clb:DescribeLoadBalancers" //查看CLB实例列表 ], "Resource": [ "*" //所有资源 ] } ] }
说明
被授予此权限后,可获取权限范围内全部终端节点服务资源的查看权限和负载均衡(CLB)实例的查看权限。
{ "Statement": [ { "Effect": "Allow", //允许对指定资源执行该策略授权的所有操作 "Action": [ "privatelink:DescribeVpcEndpointServices", //查看终端节点服务列表 "privatelink:DescribeVpcEndpointServiceAttributes", //查看终端节点服务详情 "privatelink:DescribeVpcEndpointServiceResources", //查看服务资源列表 "privatelink:DescribeVpcEndpointConnections", //查看终端节点连接列表 "privatelink:DescribeVpcEndpointServicePermissions", //查看服务白名单列表 "clb:DescribeLoadBalancers" //查看CLB实例列表 ], "Resource": [ "*" //所有资源 ] } ] }
说明
被授予此权限后,可获取权限范围内全部终端节点资源的管理权限和私有网络(VPC)实例、子网、安全组的查看权限。
{ "Statement": [ { "Effect": "Allow", //允许对指定资源执行该策略授权的所有操作 "Action": [ "privatelink:DescribeVpcEndpointServicesByEndUser", //查询本账号下的终端节点服务列表 "privatelink:CreateVpcEndpoint", //创建接口终端节点 "privatelink:DescribeVpcEndpoints", //查看接口终端节点列表 "privatelink:ModifyVpcEndpointAttributes", //修改接口终端节点 "privatelink:DescribeVpcEndpointAttributes", //查看接口终端节点详情 "privatelink:DescribeVpcEndpointSecurityGroups", //查看终端节点安全组列表 "privatelink:AttachSecurityGroupToVpcEndpoint", //为接口终端节点绑定安全组 "privatelink:DetachSecurityGroupFromVpcEndpoint", //为接口终端节点解绑安全组 "privatelink:AddZoneToVpcEndpoint", //为接口终端节点添加可用区 "privatelink:RemoveZoneFromVpcEndpoint", //为接口终端节点删除可用区 "privatelink:DescribeVpcEndpointZones", //查看接口终端节点可用区列表 "privatelink:DeleteVpcEndpoint", //删除接口终端节点 "vpc:DescribeVpcs", //查看VPC实例列表 "vpc:DescribeSubnets", //查看子网列表 "vpc:DescribeSecurityGroups"。//查看安全组列表 ], "Resource": [ "*" //所有资源 ] } ] }
说明
被授予此权限后,可获取权限范围内全部终端节点资源的查看权限和私有网络(VPC)实例、子网、安全组的查看权限。
{ "Statement": [ { "Effect": "Allow", //允许对指定资源执行该策略授权的所有操作 "Action": [ "privatelink:DescribeVpcEndpoints", //查看接口终端节点列表 "privatelink:DescribeVpcEndpointAttributes", //查看接口终端节点详情 "privatelink:DescribeVpcEndpointSecurityGroups", //查看接口终端节点安全组列表 "privatelink:DescribeVpcEndpointZones", 查看接口终端节点可用区列表 "vpc:DescribeVpcs", //查看VPC实例列表 "vpc:DescribeSubnets", //查看子网列表 "vpc:DescribeSecurityGroups"。//查看安全组列表 ], "Resource": [ "*" //所有资源 ] } ] }
如果IAM设置的默认策略无法满足您的业务需求,您可以根据实际情况,创建您自己的IAM策略。自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。
说明
目前可视化编辑器支持的产品范围有限,若您使用的服务未支持可视化策略编辑,您可切换至JSON编辑器编辑策略。当您使用JSON编辑器编辑语法后,切换至可视化编辑器可能不被识别,未识别不代表策略内容一定错误,若您确认策略语法无误,正常提交策略即可。
自定义策略语法通过策略元素定义策略的权限,自定义“基于身份的策略”和“基于资源的策略”时,策略元素有所区别。