You need to enable JavaScript to run this app.
导航
公网IP
  • 文档首页
    • /公网IP/用户指南/访问控制/IP地址池自定义策略示例
IP地址池自定义策略示例
最近更新时间:2024.09.06 10:16:11首次发布时间:2024.09.06 10:16:11
我的收藏

若系统预设策略不满足您的需求,则您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您提供常见的IP地址池自定义策略示例,供您参考。

自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法

自定义策略示例

说明

Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效。

示例一:拒绝删除IP地址池

为IAM用户授权 IpAddressPoolFullAccess 后,可为其再授予如下权限,拒绝删除IP地址池。

拒绝删除IP地址池

{
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "vpc:DeleteIpAddressPool"
            ],
            "Resource": [
				        "*"
      ]
        }
    ]
}

拒绝删除2000000001账号下ID为ippool-fda83的IP地址池

{
    "Statement": [
        {
            "Effect": "Deny",
            "Action": [
                "vpc:DeleteIpAddressPool"
            ],
            "Resource": [
			        "trn:vpc:*:2000000001:ippool/ippool-fda83"
      ]
        }
    ]
}

示例二:允许使用标签功能

{	
			"Statement":[	
					{	
							"Effect":"Allow",	
							"Action":[	
									"vpc:TagResources",
									"vpc:UntagResources",
									"vpc:ListTagsForResources"
							],	
							"Resource":[	
									"*"
							]
					}
			]
	}

相关文档

更多示例请参见 自定义策略示例

附录

IP地址池的资源类型

TRN格式如下表所示:

产品产品Service代码资源类型资源类型代码trn格式
IP地址池vpc实例ippooltrn:vpc:{region}:{account}:ippool/{ippoolid}