只允许操作特定VPC下的路由数据

本文介绍如何通过IAM的权限管理功能，创建相应策略，从而对虚拟私有网络（VPC）进行VPC级别的权限管控需求。

背景

客户账号下有多个VPC，希望仅对子账号授予特定的VPC的权限，就可以实现子账号拥有操作该VPC下相应的资源数据。无需对VPC下的资源一一授权。

注意事项

当前仅支持通过授权到特定的VPC管理VPC下的路由数据。

操作步骤

1.创建IAM子用户。
具体操作见创建IAM子用户。

2.创建自定义策略。
更多信息，请参见创建自定义策略和下文的权限策略示例。
3.为IAM子用户授权。
具体操作，请参见为为IAM子用户授权。

权限策略示例

示例：授权子用户具有VPID：43d6c641-3d08-4415-***-f49341d75d0b下所有路由的删除权限，其他VPC下路由无删除权限。

{
	"Version": "2015-11-01",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"vpc:deleteroute"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"ksc:ResourceAttribute": [
						"krn:ksc:vpc:cn-shanghai-3:200010***6:vpc/43d6c641-3d08-4415-***-f49341d75d0b"
					]
				}
			}
		}
	]
}

说明：
（1）策略语言需要将指定的VPC资源的信息用“Condition”条件来描述。条件关键词为ksc:ResourceAttribute。
（2）VPC的资源需要使用VPC资源对应的KRN格式，当前仅支持完全匹配，不支持使用通配符。