CLB自定义策略语法示例--负载均衡-火山引擎

文档中心

立即注册

导航

CLB自定义策略语法示例

最近更新时间：2024.11.15 09:40:13首次发布时间：2022.11.03 08:37:51

如果火山引擎提供的系统预设策略不满足您的需求，您可通过创建自定义策略，遵循最小授权原则，进行更精细化的权限管控，以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的负载均衡相关的自定义策略示例，供您参考。

自定义策略语法中策略元素配置的详细介绍，请参见IAM策略语法。

自定义策略示例

示例一：拒绝创建公网CLB

示例二：授权更新查看负载均衡资源的权限

示例三：拒绝删除负载均衡资源

示例四：授权使用CLB标签功能

参考以下配置，拒绝IAM用户创建公网CLB。

{
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "clb:CreateLoadBalancer"
      ],
      "Condition": {
        "StringEqualsIfExists": {
          "clb:LoadBalancerType": [
            "public"
          ]
        }
      },
      "Resource": [
        "*"
      ]
    }
  ]
}

如果仅允许IAM用户查看和更新负载均衡资源，可以参考以下示例为IAM用户授权自定义策略：

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "clb:*Describe*",
        "clb:Modify*",
        "clb:Convert*",
        "clb:Renew*",
        "clb:Set*"
      ],
      "Resource": [
        "trn:clb:*:210005****:*/*"
      ]
    }
  ]
}

拒绝策略需要配合其他策略一起使用才能生效。用户被授权的策略中同时包含Allow和Deny配置时，Deny配置优先。
如果您希望IAM用户可以进行除删除负载均衡资源外的所有操作时，可以为IAM用户授权系统预设策略CLBFullAccess和以下自定义策略：

{
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "clb:*Delete*"
      ],
      "Resource": [
        "trn:clb:*:210005****:*/*"
      ]
    }
  ]
}

参考以下配置为IAM用户授权标签功能的使用权限。

{
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "clb:TagResources",
                "clb:UntagResources",
                "clb:ListTagsForResources"
            ],
            "Resource":[
                "*"
            ]
        }
    ]
}

附录

负载均衡CLB资源TRN格式如下表所示：

产品	产品Service代码	资源类型	资源类型代码	trn格式
负载均衡	clb	负载均衡实例	clb	trn:clb:{region}:{account}:clb/{clbid}
		监听器	listener	trn:clb:{region}:{account}:listener/{listenerid}
		后端服务器组	servergroup	trn:clb:{region}:{account}:servergroup/{servergroupid}
		访问控制策略组	acl	trn:clb:{region}:{account}:acl/{aclid}
		证书	certificate	trn:clb:{region}:{account}:certificate/{certificateid}

负载均衡

自定义策略示例

相关文档

附录