专线连接IAM策略类型--专线连接-火山引擎

文档中心

导航

专线连接IAM策略类型

最近更新时间：2024.09.06 10:45:47首次发布时间：2024.03.22 08:26:23

本文为您介绍IAM策略的类型及专线连接相关的策略，以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型，您可直接使用系统预设策略为IAM身份授权，系统预设策略若无法满足您的需求您可通过自定义策略精准授权，灵活管控账号资源。

系统预设策略

IAM平台已提前为您设置了关于专线连接的默认策略，您可为直接为IAM身份（IAM身份、用户组或角色）授权系统预设策略。系统预设策略只能用于授权，不可编辑和修改。

专线连接系统预设策略

系统预设策略名称	描述
DirectConnectFullAccess	被授权该策略后的IAM身份（IAM身份、用户组、角色）可获得权限范围内全部专线连接资源的管理权限。
DirectConnectReadOnlyAccess	被授权该策略后的IAM身份（IAM身份、用户组、角色）可获得权限范围内全部专线连接资源的查看权限。如果IAM身份只授予该权限，则只可查看专线连接资源，不可对专线连接资源进行任何操作，也不可查看其他未授权的产品。

专线连接常用操作与系统策略的权限范围的关系

操作	全局授权DirectConnectFullAccess	全局授权DirectConnectReadOnlyAccess	项目DirectConnectFullAccess	项目DirectConnectReadOnlyAccess
申请接入物理专线	√	×	√	×
查询物理专线	√	√	√	√
修改物理专线	√	×	√	×
删除物理专线	√	×	√	×
创建专线网关	√	×	√	×
查询专线网关	√	√	√	√
修改专线网关	√	×	√	×
删除专线网关	√	×	√	×
创建虚拟接口	√	×	×	×
查询虚拟接口	√	√	×	×
修改虚拟接口	√	×	×	×
删除虚拟接口	√	×	×	×

DirectConnectFullAccess 策略详情

说明

被授予此策略后，除了获取专线连接产品的权限外，还可获取专线网关到云企业网（CEN）的跨账号授权操作权限。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "directconnect:*",
                "cen:*Grant*",
                "cen:*Revoke*Cen",
                "vpc:*InternetTunnel*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

DirectConnectReadOnlyAccess 策略详情

说明

被授予此权限后，除了获取专线连接产品的查看权限外，还可获取云企业网（CEN）的跨账号授权的查询权限。

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "directconnect:Describe*",
                "cen:Describe*Grant*",
                "vpc:DescribeInternetTunnel*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

自定义策略

类型	说明	相关文档
自定义策略类型	自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略（Resource-based policies）。	基于身份的策略基于资源的策略
自定义策略语法	自定义策略语法通过策略元素定义策略的权限，自定义“基于身份的策略”和“基于资源的策略”时，策略元素有所区别。	通用自定义策略语法示例专线连接自定义策略语法示例
新建自定义策略	火山引擎主账号或拥有访问控制管理权限的子用户进行授权时，系统预设策略无法满足需求，可通过自定义策略精细化定义权限。	新建自定义策略

子用户使用专线连接策略及权限配置说明

注意

虚拟接口当前暂不支持Project管理能力，如果只授予IAM身份DirectConnectFullAccess或DirectConnectReadOnlyAccess策略的项目授权，IAM身份将无法查看或使用完整的专线连接功能。

标题	策略名称	授权	效果
管理专线连接资源	系统策略：DirectConnectFullAccess	全局授权	被授予权限后，子用户可管理全部的专线连接资源（物理专线、专线网关和虚拟接口）。
管理专线连接资源	系统策略：DirectConnectFullAccess 自定义策略：示例一：自定义虚拟接口读、写策略	项目授权	被授予权限后，子用户可管理指定项目的专线连接资源（物理专线、专线网关和虚拟接口）。
查看专线连接资源	系统策略：DirectConnectReadOnlyAccess	全局授权	被授予权限后，子用户可查看全部的专线连接资源（物理专线、专线网关和虚拟接口）。
查看专线连接资源	系统策略：DirectConnectReadOnlyAccess 自定义策略：示例二：自定义虚拟接口只读策略	项目授权	被授予权限后，子用户可查看指定项目的专线连接资源（物理专线、专线网关和虚拟接口）。

专线连接功能依赖的角色或策略

功能	依赖云服务	所需角色/策略
查看专线连接监控信息	云监控	全局授权：为IAM身份授予DirectConnectFullAccess策略或DirectConnectReadOnlyAccess策略的全局授权后，还需要授权云监控系统预设CloudMonitorReadOnlyAccess策略的全局授权才能查看专线网关、虚拟接口的监控信息。项目授权：为IAM身份授予DirectConnectFullAccess策略和示例一：自定义虚拟接口读、写策略的项目授权或DirectConnectReadOnlyAccess策略和示例二：自定义虚拟接口只读策略的项目授权后，还需要增加CloudMonitorReadOnlyAccess策略权限后才能查看专线网关、虚拟接口的监控信息。
专线网关加入中转路由器	中转路由器	全局授权：如果专线网关需要加入中转路由器，为IAM身份授予DirectConnectFullAccess策略的全局授权后，还需要授权中转路由器实例的读权限和专线连接类型网络实例连接的读、写权限。方案一：为IAM身份授予中转路由器预设系统策略TransitRouterFullAccess策略权限（该权限为中转路由器全部资源的全读、写操作）。方案二：为IAM身份授予自定义策略，仅允许IAM身份创建IPsec连接时绑定已有的中转路由器，不允许新创建中转路由器。具体自定义策略内容，可参考示例六：允许专线网关加入已有中转路由器（TR），但不可操作中转路由器资源。项目授权：如果专线网关需要加入中转路由器，为IAM身份授予DirectConnectFullAccess策略和示例一：自定义虚拟接口读、写策略的项目授权后，还需要授权中转路由器实例的读权限和专线连接类型网络实例连接的读、写权限。方案一：为IAM身份授予中转路由器预设系统策略TransitRouterFullAccess策略权限（该权限为中转路由器全部资源的全读、写操作）。方案二：为IAM身份授予自定义策略，仅允许IAM身份创建IPsec连接时绑定已有的中转路由器，不允许新创建中转路由器。具体自定义策略内容，可参考示例六：允许专线网关加入已有中转路由器（TR），但不可操作中转路由器资源。
专线网关加入云企业网	云企业网	全局授权：如果专线网关需要加入云企业网，为IAM身份授予DirectConnectFullAccess策略的全局授权后，还需要授权云企业网实例的读权限和专线网关类型网络实例连接的读、写权限。方案一：为IAM身份授予云企业网预设系统策略CENFullAccess权限（该策略为云企业网全部资源的全读、写权限）。方案二：为IAM身份授予自定义策略，仅允许IAM身份把专线网关加入已有的云企业网，不可创建新的云企业网。具体自定义策略内容，可参考示例四：允许专线网关加入云企业网（CEN）。项目授权：如果专线网关需要加入云企业网，为IAM身份授予DirectConnectFullAccess策略和示例二：自定义专线连接只读权限策略的项目授权后，还需要授权云企业网实例的读权限和专线网关类型网络实例连接的读、写权限。方案一：为IAM身份授予云企业网预设系统策略CENFullAccess权限（该策略为云企业网全部资源的全读、写权限）。方案二：为IAM身份授予自定义策略，仅允许IAM身份把专线网关加入已有的云企业网，不可创建新的云企业网。具体自定义策略内容，可参考示例四：允许专线网关加入云企业网（CEN）。

专线连接