如果火山引擎提供的系统预设策略不满足您的需求,您可通过创建自定义策略,遵循最小授权原则,进行更精细化的权限管控,以提升IAM身份对主账号下资源的安全访问。本文为您介绍日常场景中常见的中转路由器相关的自定义策略示例,供您参考。
自定义策略语法中策略元素配置的详细介绍,请参见IAM策略语法。
如果希望子用户能执行中转路由器资源的所有管理操作(包括增删改查),那么除了授予子用户系统预设策略TransitRouterFullAccess,您还需要授权关联服务的资源管理权限,自定义策略如下:
{ "Statement": [ { "Effect": "Allow", "Action": [ "vpc:Describevpc*", "vpc:DescribeSubnet*", "vpc:DescribeNetworkInterfaces", "vpn:CreateVpnConnection", "vpn:DescribeVpnConnections", "directconnect:DescribeDirectConnectGateways", "Volc_Observe:List*", "Volc_Observe:Get*" ], "Resource": [ "*" ] } ] }
如果仅允许子用户查看和更新中转路由器资源,可以参考以下示例为子用户授权自定义策略:
{ "Statement": [ { "Effect": "Allow", "Action": [ "transitrouter:Describe*", "transitrouter:Modify*" ], "Resource": [ "trn:transitrouter:*:210005****:*/*" ] } ] }
拒绝策略需要配合其他策略一起使用才能生效。用户被授权的策略中同时包含Allow和Deny配置时,Deny配置优先。
如果您希望子用户可以进行除删除中转路由器资源外的所有操作时,可以为子用户授权系统预设策略TransitRouterFullAccess和以下自定义策略:
{ "Statement": [ { "Effect": "Deny", "Action": [ "transitrouter:Delete*" ], "Resource": [ "trn:transitrouter:*:210005****:*/*" ] } ] }
参考以下配置为子用户授权标签功能的使用权限。
{ "Statement":[ { "Effect":"Allow", "Action":[ "transitrouter:TagResources", "transitrouter:UntagResources", "transitrouter:ListTagsForResources" ], "Resource":[ "*" ] } ] }
通用自定义策略示例:文档中提供了多种常见的自定义策略语法示例供您参考。
中转路由器资源TRN格式如下表所示:
产品 | 产品Service代码 | 资源类型 | 资源类型代码 | trn格式 |
---|---|---|---|---|
中转路由器 | transitrouter | TR实例 | transitrouter | trn:transitrouter:{region}:{account}:transitrouter/{transitrouterid} |
TR连接 | transitrouterattachment | trn:transitrouter:{region}:{account}:transitrouterattachment/{transitrouterattachmentid} | ||
TR路由表 | transitrouterroutetable | trn:transitrouter:{region}:{account}:transitrouterroutetable/{transitrouterroutetableid} | ||
TR路由条目 | transitrouterrouteentry | trn:transitrouter:{region}:{account}:transitrouterrouteentry/{transitrouterrouteentryid} | ||
TR带宽包 | transitrouterbandwidthpackage | trn:transitrouter::{account}:transitrouterbandwidthpackage/{transitrouterbandwidthpackageid} | ||
TR转发策略 | transitrouterforwardpolicytable | trn:transitrouter:{region}:{account}:transitrouterforwardpolicytable/{transitrouterforwardpolicytableid} | ||
TR转发策略条目 | transitrouterforwardpolicyentry | trn:transitrouter:{region}:{account}:transitrouterforwardpolicyentry/{transitrouterforwardpolicyentryid} | ||
TR路由策略 | transitrouterroutepolicytable | trn:transitrouter:{region}:{account}:transitrouterroutepolicytable/{transitrouterroutepolicytableid} | ||
TR路由策略条目 | transitrouterroutepolicyentry | trn:transitrouter:{region}:{account}:transitrouterroutepolicyentry/{transitrouterroutepolicyentryid} |