You need to enable JavaScript to run this app.
导航
中转路由器自定义策略语法示例
最近更新时间:2024.09.10 10:14:48首次发布时间:2023.07.07 09:53:47

如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的中转路由器相关的自定义策略示例,供您参考。

自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法

自定义策略示例

示例一:授权全部中转路由器资源的管理权限

如果希望子用户能执行中转路由器资源的所有管理操作(包括增删改查),那么除了授予子用户系统预设策略TransitRouterFullAccess,您还需要授权关联服务的资源管理权限,自定义策略如下:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "vpc:Describevpc*",
        "vpc:DescribeSubnet*",
        "vpc:DescribeNetworkInterfaces",
        "vpn:CreateVpnConnection",
        "vpn:DescribeVpnConnections",
        "directconnect:DescribeDirectConnectGateways",
        "Volc_Observe:List*",
        "Volc_Observe:Get*"
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}

示例二:授权更新及查看中转路由器资源的权限

如果仅允许子用户查看和更新中转路由器资源,可以参考以下示例为子用户授权自定义策略:

{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "transitrouter:Describe*",
        "transitrouter:Modify*"
      ],
      "Resource": [
        "trn:transitrouter:*:210005****:*/*"
      ]
    }
  ]
}

示例三:拒绝删除中转路由器资源

拒绝策略需要配合其他策略一起使用才能生效。用户被授权的策略中同时包含Allow和Deny配置时,Deny配置优先。
如果您希望子用户可以进行除删除中转路由器资源外的所有操作时,可以为子用户授权系统预设策略TransitRouterFullAccess和以下自定义策略:

{
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "transitrouter:Delete*"
      ],
      "Resource": [
        "trn:transitrouter:*:210005****:*/*"
      ]
    }
  ]
}

示例四:授权使用中转路由器标签功能

参考以下配置为子用户授权标签功能的使用权限。

{
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "transitrouter:TagResources",
                "transitrouter:UntagResources",
                "transitrouter:ListTagsForResources"
            ],
            "Resource":[
                "*"
            ]
        }
    ]
}

相关文档

通用自定义策略示例:文档中提供了多种常见的自定义策略语法示例供您参考。

附录:中转路由器资源类型

中转路由器资源TRN格式如下表所示:

产品产品Service代码资源类型资源类型代码trn格式
中转路由器transitrouterTR实例transitroutertrn:transitrouter:{region}:{account}:transitrouter/{transitrouterid}
TR连接transitrouterattachmenttrn:transitrouter:{region}:{account}:transitrouterattachment/{transitrouterattachmentid}
TR路由表transitrouterroutetabletrn:transitrouter:{region}:{account}:transitrouterroutetable/{transitrouterroutetableid}
TR路由条目transitrouterrouteentrytrn:transitrouter:{region}:{account}:transitrouterrouteentry/{transitrouterrouteentryid}
TR带宽包transitrouterbandwidthpackagetrn:transitrouter::{account}:transitrouterbandwidthpackage/{transitrouterbandwidthpackageid}
TR转发策略transitrouterforwardpolicytabletrn:transitrouter:{region}:{account}:transitrouterforwardpolicytable/{transitrouterforwardpolicytableid}
TR转发策略条目transitrouterforwardpolicyentrytrn:transitrouter:{region}:{account}:transitrouterforwardpolicyentry/{transitrouterforwardpolicyentryid}
TR路由策略transitrouterroutepolicytabletrn:transitrouter:{region}:{account}:transitrouterroutepolicytable/{transitrouterroutepolicytableid}
TR路由策略条目transitrouterroutepolicyentrytrn:transitrouter:{region}:{account}:transitrouterroutepolicyentry/{transitrouterroutepolicyentryid}