本文介绍如何通过IAM的权限管理功能,创建相应策略,从而对虚拟私有网络(VPC)进行VPC级别的权限管控需求。
背景
客户账号下有多个VPC,希望仅对子账号授予特定的VPC的权限,就可以实现子账号拥有操作该VPC下相应的资源数据。无需对VPC下的资源一一授权。
注意事项
当前仅支持通过授权到特定的VPC管理VPC下的路由数据。
操作步骤
1.创建IAM子用户。
具体操作见创建IAM子用户。
2.创建自定义策略。
更多信息,请参见创建自定义策略和下文的权限策略示例。
3.为IAM子用户授权。
具体操作,请参见为为IAM子用户授权。
权限策略示例
示例:授权子用户具有VPID:43d6c641-3d08-4415-***-f49341d75d0b下所有路由的删除权限,其他VPC下路由无删除权限。
{
"Version": "2015-11-01",
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:deleteroute"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringEquals": {
"ksc:ResourceAttribute": [
"krn:ksc:vpc:cn-shanghai-3:200010***6:vpc/43d6c641-3d08-4415-***-f49341d75d0b"
]
}
}
}
]
}
说明:
(1)策略语言需要将指定的VPC资源的信息用“Condition”条件来描述。条件关键词为ksc:ResourceAttribute。
(2)VPC的资源需要使用VPC资源对应的KRN格式,当前仅支持完全匹配,不支持使用通配符。
文档内容是否对您有帮助?
根本没帮助
文档较差
文档一般
文档不错
文档很好
在文档使用中是否遇到以下问题
内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长
更多建议
0/200
评价建议不能为空
提交成功!
非常感谢您的反馈,我们会继续努力做到更好!