如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的IPv6网关相关的自定义策略示例,供您参考。
自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法。
当前IPv6网关不支持通过Resource定义资源范围。
说明
Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效。
为IAM用户授权 IPv6GatewayFullAccess 后,可为其再授予如下权限,拒绝删除IPv6网关。
{ "Statement": [ { "Effect": "Deny", "Action": [ "vpc:DeleteIpv6Gateway" ], "Resource": [ "*" ] } ] }
为IAM用户授权 IPv6GatewayFullAccess 后,可为其再授予如下权限,拒绝删除IPv6公网带宽。
{ "Statement": [ { "Effect": "Deny", "Action": [ "vpc:ReleaseIpv6AddressBandwidth" ], "Resource": [ "*" ] } ] }
为IAM用户授权 IPv6GatewayReadOnlyAccess 后,可为其再授予如下权限,使其可以管理仅主动出规则。
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:CreateIpv6EgressOnlyRule", "vpc:ModifyIpv6EgressOnlyRuleAttribute", "vpc:DescribeIpv6EgressOnlyRules", "vpc:DeleteIpv6EgressOnlyRule" ], "Resource": [ "*" ] } ] }
·
更多示例请参见 自定义策略示例 。
IPv6网关资源TRN格式如下表所示:
| 产品 | 产品Service代码 | 资源类型 | 资源类型代码 | trn格式 |
|---|---|---|---|---|
| IPv6网关 | vpc | IPv6网关 | ipv6gw | trn:vpc:{region}:{account}:ipv6gw/{ipv6gwid} |
| IPv6公网带宽 | eip | trn:vpc:{region}:{account}:eip/{eipid} | ||
| IPv6网关 | ipv6py | trn:vpc:{region}:{account}:ipv6py/{ipv6pyid} |