You need to enable JavaScript to run this app.
导航
CEN自定义策略语法示例
最近更新时间:2024.11.28 15:46:18首次发布时间:2024.03.22 08:27:15

如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的云企业网相关的自定义策略示例,供您参考。

自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法

自定义策略示例

说明

Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效。

如果您希望子用户可以进行除删除云企业网资源外的所有操作时,可以为子用户授权系统预设策略CENFullAccess和以下自定义策略:

  • 拒绝删除全部云企业网资源

    {
        "Statement": [
            {
                "Effect": "Deny",
                "Action": [
                    "cen:Delete*"
                ],
                "Resource": [
    				        "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "directconnect:DescribeDirectConnectGateway*"
                ],
                "Resource": [
    				        "*"
                ]
            }
        ]
    }
    
  • 拒绝删除指定账号下指定的云企业网资源

    {
          "Statement": [
              {
                  "Effect": "Deny",
                  "Action": [
                      "cen:Delete*"
                  ],
                  "Resource": [
      				        "trn:cen::200000000X:cen/cen-2yyxafgve001",  //200000000X账号下的CEN实例cen-2yyxafgve001
      		            "trn:cen::200000000X:cenbandwidthpackage/cbp-2yyxafgve002"  //200000000X账号下的带宽包cbp-2yyxafgve002
                  ]
              },
              {
                  "Effect": "Allow",
                  "Action": [
                      "directconnect:DescribeDirectConnectGateway*"  // 查看专线网关实例
                  ],
                  "Resource": [
      				        "*"
                  ]
              }
          ]
      }
    

相关文档

更多示例请参见 自定义策略示例

附录

云企业网资源TRN格式如下表所示:

产品产品Service代码资源类型资源类型代码trn格式
云企业网cen云企业网实例centrn:cen::{account}:cen/{cenid}
CEN带宽包cenbandwidthpackagetrn:cen::{account}:cenbandwidthpackage/{cenbandwidthpackageid}