子用户创建NAT网关时,需要哪些权限?
子用户成功创建NAT网关,必须满足如下其中一个情况。
- 情况1:子用户具有作用范围为全局的创建NAT网关权限。
- 情况2:子用户具有如下三种权限。
- 子用户在私有网络所属的项目具有创建NAT网关权限。
- 子用户在子网所属的项目具有创建NAT网关权限。
- 子用户在待创建NAT网关所属的项目具有创建NAT网关权限。
示例:无创建NAT网关全局权限的子用户,需要创建NAT网关,此时VPC所属项目A,子网所属项目B,待创建的NAT网关所属项目C。
子用户在项目A有创建NAT网关权限,子用户在项目B有创建NAT网关权限,子用户在项目C有创建NAT网关权限。
NAT网关的安全组、网卡、SNAT规则、DNAT规则是否和NAT网关所属的项目一致?
默认保持一致。当NAT网关移入、移出项目时,其子资源(SNAT规则、DNAT规则、NAT网关辅助网卡、NAT网关安全组)也会随之移入、移出项目。
子用户调用 DescribeNatGateways 接口,提示无权限?
分为如下两种情况:
- 子用户没有作用范围为全局的查询NAT网关权限,也没有作用范围为项目的查询NAT网关权限,请联系主账号授权或使用有权限的子用户。
- 子用户没有作用范围为全局的查询NAT网关权限,有作用范围为项目的查询NAT网关权限,调用 DescribeNatGateways 接口,必须传入
ProjectName或NatGatewayIds.N参数。
子用户调用 DescribeSnatEntries 接口,提示无权限?
分为如下两种情况:
- 子用户没有作用范围为全局的查询SNAT规则权限,也没有作用范围为项目的查询SNAT规则权限,请联系主账号授权或使用有权限的子用户。
- 子用户没有作用范围为全局的查询SNAT规则权限,有作用范围为项目的查询SNAT规则权限,调用 DescribeSnatEntries 接口,必须传入
NatGatewayId或者SnatEntryIds.N参数。
进入NAT网关列表页面,为什么显示当前子用户无权限?
进入NAT网关列表后,系统默认筛选全部项目,请您根据提示,切换项目或联系主账号进行授权。
创建NAT网关时,无法选择私有网络?
可能情况如下:
- 当前环境中还未创建私有网络实例。
- 当前子用户创建NAT网关时,子用户有创建NAT网关权限的项目里没有创建私有网络实例。
创建NAT网关时,提交确认订单,提示无权限?
子用户创建NAT网关选择的子网,子用户在该子网所属的项目不具有创建NAT网关权限。
为什么子用户无法查看监控数据?
子用户没有云监控的相关权限。子用户具有NAT网关权限后,如需查看监控数据,还需要为子用户授权云监控相关权限。
- 子用户所属的主账号登录 访问控制控制台 。
- 在左侧导航树中,选择“身份管理 > 用户”,进入用户页面。
- 单击待授权的子用户的用户名,进入用户详情页面。
- 在“权限 > 全局权限”页签,单击“添加权限”按钮,按需为子用户添加系统预设云监控策略权限。
| 策略名 | 支持的操作 |
|---|
| CloudMonitorFullAccess | 云监控(CloudMonitor)的管理权限。授予此权限后,子用户不仅可以查看监控数据,还可以使用云监控产品。 |
| CloudMonitorReadOnlyAccess | 云监控(CloudMonitor)的访问权限。授予此权限后,子用户仅能查看监控数据。 |
- 单击“确定”按钮,完成操作。
子用户如何使用标签功能?
步骤一:创建标签策略
- 子用户所属的主账号登录 访问控制控制台 。
- 在左侧导航树中,选择“策略管理”,进入策略管理页面。
- 在“用户自定义策略”页签,单击“新建策略”按钮,输入策略名称和策略内容,策略内容参考如下:
{
"Statement":[
{
"Effect":"Allow",
"Action":[
"vpc:TagResources",
"vpc:UntagResources",
"vpc:ListTagsForResources"
],
"Resource":[
"*"
]
}
]
}
- 单击“创建策略”按钮,完成创建。
步骤二:为子用户添加标签策略
- 子用户所属的主账号登录 访问控制控制台 。
- 在左侧导航树中,选择“身份管理 > 用户”,进入用户页面。
- 单击待授权子用户的用户名,进入用户详情页面。
- 在“权限 > 全局权限”页签下,单击“添加权限”按钮,勾选步骤一新创建的策略。
- 单击“确认”按钮,完成操作。