本文档介绍如何在 TrafficRoute DNS 套件中实现访问控制与资源管理。

访问控制

访问控制（Identity and Access Management，IAM）是火山引擎提供的一套权限管理系统，用于控制不同身份对云资源的访问权限。例如，企业使用主账号购置云资源，并将云资源的访问权限按需分配给不同的 IAM 用户。企业可以允许员工通过 IAM 用户登录控制台访问云资源。

主账号与子用户

当您在火山引擎注册后，系统为您创建了一个主账号。主账号具有管理火山引擎云资源的所有权限。如果您有用户需要对指定云资源进行特定的操作，您可以创建子用户账号，并授予相应的权限。当子用户使用自己的账号访问火山引擎时，子用户就能对有权限访问的云资源进行操作了。在火山引擎中，子用户也称为 IAM 用户。参见 用户管理 了解如何创建子用户。

策略

您通过策略授予子用户权限。同时，您通过指定策略的作用范围来指定子用户可以操作的云资源。策略包含云产品的权限。策略可以包含一个云产品的权限，也可以包含多个云产品的权限。权限可以是一个云产品的部分权限或者所有权限。

策略有以下类型：

• 系统预设策略：每个火山引擎云产品都有一个或者多个的系统预设策略。这些系统预设策略针对常见的操作场景预设了权限，方便对子用户授权。例如 DNSReadOnlyAccess 是一个系统预设策略。该策略包含了云解析 DNS 读取资源的权限。
• 用户自定义策略：如果系统预设策略不能满足您的需要，您可以创建权限的自定义组合。

TrafficRoute DNS 套件有以下系统预设策略：

资源管理

资源管理是火山引擎提供的一套云资源管理系统，常用于财务分账和分组运维等业务场景。

TrafficRoute DNS 套件的以下服务支持您使用项目和标签进行资源管理：

• 云解析 DNS：域名和 PTR 记录都被定义为资源。您可以通过项目和标签对资源进行管理。
• 私网解析 PrivateZone：域名（不含云产品权威域名）、转发规则、出站终端节点和入站终端节点都被定义为资源。您可以通过项目和标签对资源进行管理。

  说明

  在私网解析 PrivateZone 中使用项目时，需要注意以下几点：

  • 2024 年 11 月 13 日前已创建但未加入项目的资源默认属于 default 项目。子用户需要 default 项目的权限才能访问 default 项目中的资源。
  • 因为一个资源只能属于一个项目，如果您需要为一个项目关联多个类型的资源，则需要同时确保相互关联的资源都属于同一个项目，否则没有全局权限的子用户创建资源时将无法选择关联的资源或收到错误消息。例如：
    • 您为 A 项目中的域名关联 VPC 时，需要确保该 VPC 也在 A 项目中。
    • 您为终端节点更换项目时，需要确保关联的转发规则也需要被更换到相同的项目。
  • 没有全局权限的子用户不能使用云产品权威域名、跨账号关联 VPC 和操作日志功能。

项目

项目（Project）是火山引擎提供的一种资源分组管理的机制，帮助用户达成逻辑层面的资源隔离。您能够通过项目进行项目制授权和分账等操作。

关于项目的具体使用方法，参见 项目概述。

标签

标签（Tag）由一组 KV 键值对组成。您可以通过标签从不同维度对云资源进行分类和聚合管理。您可以把标签应用在标签制授权和标签分账等场景。

关于标签的具体使用方法，参见 标签概述。