全部文档
当前文档

暂无内容

如果没有找到您期望的内容,请尝试其他搜索词

文档中心

只允许操作特定VPC下的路由数据

最近更新时间:2024-03-01 14:57:06

本文介绍如何通过IAM的权限管理功能,创建相应策略,从而对虚拟私有网络(VPC)进行VPC级别的权限管控需求。

背景

客户账号下有多个VPC,希望仅对子账号授予特定的VPC的权限,就可以实现子账号拥有操作该VPC下相应的资源数据。无需对VPC下的资源一一授权。

注意事项

当前仅支持通过授权到特定的VPC管理VPC下的路由数据。

操作步骤

1.创建IAM子用户。
具体操作见创建IAM子用户

2.创建自定义策略。
更多信息,请参见创建自定义策略和下文的权限策略示例。

3.为IAM子用户授权。
具体操作,请参见为为IAM子用户授权

权限策略示例

示例:授权子用户具有VPID:43d6c641-3d08-4415-***-f49341d75d0b下所有路由的删除权限,其他VPC下路由无删除权限。

{
	"Version": "2015-11-01",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"vpc:deleteroute"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"ksc:ResourceAttribute": [
						"krn:ksc:vpc:cn-shanghai-3:200010***6:vpc/43d6c641-3d08-4415-***-f49341d75d0b"
					]
				}
			}
		}
	]
}

说明:
(1)策略语言需要将指定的VPC资源的信息用“Condition”条件来描述。条件关键词为ksc:ResourceAttribute。
(2)VPC的资源需要使用VPC资源对应的KRN格式,当前仅支持完全匹配,不支持使用通配符。

文档导读
纯净模式常规模式

纯净模式

点击可全屏预览文档内容
文档反馈