最近更新时间:2024-03-01 14:57:06
本文介绍如何通过IAM的权限管理功能,创建相应策略,从而对虚拟私有网络(VPC)进行VPC级别的权限管控需求。
客户账号下有多个VPC,希望仅对子账号授予特定的VPC的权限,就可以实现子账号拥有操作该VPC下相应的资源数据。无需对VPC下的资源一一授权。
当前仅支持通过授权到特定的VPC管理VPC下的路由数据。
1.创建IAM子用户。
具体操作见创建IAM子用户。
2.创建自定义策略。
更多信息,请参见创建自定义策略和下文的权限策略示例。
3.为IAM子用户授权。
具体操作,请参见为为IAM子用户授权。
示例:授权子用户具有VPID:43d6c641-3d08-4415-***-f49341d75d0b下所有路由的删除权限,其他VPC下路由无删除权限。
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:deleteroute"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"ksc:ResourceAttribute": [
"krn:ksc:vpc:cn-shanghai-3:200010***6:vpc/43d6c641-3d08-4415-***-f49341d75d0b"
]
}
}
}
]
}
说明:
(1)策略语言需要将指定的VPC资源的信息用“Condition”条件来描述。条件关键词为ksc:ResourceAttribute。
(2)VPC的资源需要使用VPC资源对应的KRN格式,当前仅支持完全匹配,不支持使用通配符。
纯净模式