如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的云企业网相关的自定义策略示例,供您参考。
自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法。
说明
Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效。
如果您希望子用户可以进行除删除云企业网资源外的所有操作时,可以为子用户授权系统预设策略CENFullAccess和以下自定义策略:
拒绝删除全部云企业网资源
{ "Statement": [ { "Effect": "Deny", "Action": [ "cen:Delete*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "directconnect:DescribeDirectConnectGateway*" ], "Resource": [ "*" ] } ] }
拒绝删除指定账号下指定的云企业网资源
{ "Statement": [ { "Effect": "Deny", "Action": [ "cen:Delete*" ], "Resource": [ "trn:cen::200000000X:cen/cen-2yyxafgve001", //200000000X账号下的CEN实例cen-2yyxafgve001 "trn:cen::200000000X:cenbandwidthpackage/cbp-2yyxafgve002" //200000000X账号下的带宽包cbp-2yyxafgve002 ] }, { "Effect": "Allow", "Action": [ "directconnect:DescribeDirectConnectGateway*" // 查看专线网关实例 ], "Resource": [ "*" ] } ] }
更多示例请参见自定义策略(Demo)。
云企业网资源TRN格式如下表所示:
| 产品 | 产品Service代码 | 资源类型 | 资源类型代码 | trn格式 |
|---|---|---|---|---|
| 云企业网 | cen | 云企业网实例 | cen | trn:cen::{account}:cen/{cenid} |
| CEN带宽包 | cenbandwidthpackage | trn:cen::{account}:cenbandwidthpackage/{cenbandwidthpackageid} |