只允许操作特定VPC下的路由数据

最近更新时间:2021-11-18 20:18:19

查看PDF

本文介绍如何通过IAM的权限管理功能,创建相应策略,从而对虚拟私有网络(VPC)进行VPC级别的权限管控需求。

背景

客户账号下有多个VPC,希望仅对子账号授予特定的VPC的权限,就可以实现子账号拥有操作该VPC下相应的资源数据。无需对VPC下的资源一一授权。

注意事项

当前仅支持通过授权到特定的VPC管理VPC下的路由数据。

操作步骤

1.创建IAM子用户。
具体操作见创建IAM子用户

2.创建自定义策略。
更多信息,请参见创建自定义策略和下文的权限策略示例。
3.为IAM子用户授权。
具体操作,请参见为为IAM子用户授权

权限策略示例

示例:授权子用户具有VPID:43d6c641-3d08-4415-***-f49341d75d0b下所有路由的删除权限,其他VPC下路由无删除权限。

{
	"Version": "2015-11-01",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"vpc:deleteroute"
			],
			"Resource": "*",
			"Condition": {
				"ForAnyValue:StringEquals": {
					"ksc:ResourceAttribute": [
						"krn:ksc:vpc:cn-shanghai-3:200010***6:vpc/43d6c641-3d08-4415-***-f49341d75d0b"
					]
				}
			}
		}
	]
}

说明:
(1)策略语言需要将指定的VPC资源的信息用“Condition”条件来描述。条件关键词为ksc:ResourceAttribute。
(2)VPC的资源需要使用VPC资源对应的KRN格式,当前仅支持完全匹配,不支持使用通配符。

文档内容是否对您有帮助?

根本没帮助
文档较差
文档一般
文档不错
文档很好

在文档使用中是否遇到以下问题

内容不全,不深入
内容更新不及时
描述不清晰,比较混乱
系统或功能太复杂,缺乏足够的引导
内容冗长

更多建议

0/200

评价建议不能为空

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

问题反馈