本文为您介绍IAM策略的类型及公网IP相关的策略,以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型,您可直接使用系统预设策略为IAM身份授权,但系统预设策略有限若无法满足您的需求,您可通过自定义策略精准授权,灵活管控账号资源。
IAM平台已提前为您设置了关于公网IP的默认策略,您可为直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改。
| 系统预设策略名称 | 描述 |
|---|---|
| EIPFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部公网IP资源的管理权限。 |
| IpAddressPoolFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部IP地址池资源的管理权限。 |
| EIPReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部公网IP资源的查看权限。如果IAM身份只授予该权限,则只可查看公网IP资源,不可对公网IP资源进行任何操作,也不可查看其他未授权的产品。 |
| IpAddressPoolReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色)可获得权限范围内全部IP地址池资源的查看权限。如果IAM身份只授予该权限,则只可查看IP地址池资源,不可对IP地址池资源进行任何操作,也不可查看其他未授权的产品。 |
说明
通配符*:匹配0个、1个或多个字符。
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*EipAddress*", "ecs:DescribeZones", "vpc:*BandwidthPackageEip*", "vpc:*IpAddressPool*" ], "Resource": [ "*" ] } ] }
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*DescribeEip*", "vpc:DescribeIpAddressPool*" ], "Resource": [ "*" ] } ] }
| 操作 | EIPFullAccess | EIPReadOnlyAccess |
|---|---|---|
| 申请公网IP | √ | × |
| 查询公网IP | √ | √ |
| 修改公网IP | √ | × |
| 删除公网IP | √ | × |
| 绑定云资源 | √ | × |
| 解绑云资源 | √ | × |
| 加入到共享带宽包 | √ | × |
| 从共享带宽包移出 | √ | × |
| 功能 | 依赖云服务 | 所需角色/策略 |
|---|---|---|
| 查看公网IP监控信息 | 云监控 | 为IAM用户授予EIPFullAccess或EIPReadOnlyAccess权限后,需要增加CloudMonitorReadOnlyAccess后才能查看公网IP的监控信息。 |
| 绑定解绑 | - | 需要授予与公网IP绑定的云资源的查询权限,才能与之绑定/解绑。 |
| 类型 | 说明 | 相关文档 |
|---|---|---|
自定义策略类型 | 自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。 | |
自定义策略语法 | 自定义策略语法通过策略元素定义策略的权限,自定义“基于身份的策略”和“基于资源的策略”时,策略元素有所区别。 | |
| 新建自定义策略 | 火山引擎主账号或拥有访问控制管理权限的子用户进行授权时,系统预设策略无法满足需求,可通过自定义策略精细化定义权限。 | 新建自定义策略 |
常见系统预设策略:文档中介绍了部分常用的系统预设策略,以帮助您更快速的了解、使用系统策略进行权限管控。