本文介紹了通過RAM的許可權管理功能,建立相應的權限原則,從而對Virtual Private Cloud進行許可權管理,以滿足RAM使用者操作VPC的多種需求。

背景信息

  • 使用RAM對VPC進行許可權管理前,請先瞭解以下系統策略:
    • AliyunVPCFullAccess:管理VPC的許可權。
    • AliyunVPCReadOnlyAccess:唯讀訪問VPC的許可權。

    當系統策略不能滿足您的需求時,您可以建立自訂策略。

  • 使用RAM對VPC進行許可權管理前,請先瞭解VPC的許可權定義。更多資訊,請參見RAM鑒權

操作步驟

  1. 建立RAM使用者。
    具體操作,請參見建立RAM使用者
  2. 建立自訂策略。
    更多資訊,請參見建立自訂權限原則權限原則樣本
  3. 為RAM使用者授權。
    具體操作,請參見為RAM使用者授權

權限原則樣本

  • 樣本1:對VPC的管理授權

    假設您的阿里雲帳號ID為1234567,授權RAM使用者管理該帳號下的所有VPC,使某個RAM使用者具有操作所有VPC的許可權。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*"
                ],
                "Resource": [
                    "acs:vpc:*:1234567:*/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 樣本2:對VPC中vSwitch的管理授權

    假設您只想授權華北1(青島)地區下的vSwitch的系統管理權限,使某個RAM使用者可以對該地區下的vSwitch進行建立、刪除、綁定子網路由、解除綁定子網路由的操作,對於其它地區的vSwitch只有查看許可權。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*",
                    "vpc:*VSwitch*",
                    "vpc:*RouteTable*"
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:*/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 樣本3:只允許操作特定地區下的路由表以及路由表中的路由條目

    假設您的阿里雲帳號ID為1234567,在多個地區建立了VPC,該許可權只授予某個RAM使用者對華東1(杭州)地區VPC的操作許可權,且操作許可權僅限於:允許新增、刪除路由條目,允許建立子網路由並綁定vSwitch,對於其它地區的雲端服務只有查看許可權。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "slb:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "rds:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*",
                    "vpc:*RouteEntry*",
                    "vpc:*RouteTable*"
                ],
                "Resource": [                
    "acs:vpc:cn-hangzhou:1234567:*/*"
                ],
                "Condition": {}
            }
        ]
    }
  • 樣本4:只允許修改特定路由表中的路由條目

    假設您只希望RAM使用者新增、刪除特定路由表中的路由條目。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*RouteEntry*"
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }