本文介紹了通過RAM的許可權管理功能,建立相應的權限原則,從而對Virtual Private Cloud進行許可權管理,以滿足RAM使用者操作VPC的多種需求。
背景信息
- 使用RAM對VPC進行許可權管理前,請先瞭解以下系統策略:
- AliyunVPCFullAccess:管理VPC的許可權。
- AliyunVPCReadOnlyAccess:唯讀訪問VPC的許可權。
當系統策略不能滿足您的需求時,您可以建立自訂策略。
- 使用RAM對VPC進行許可權管理前,請先瞭解VPC的許可權定義。更多資訊,請參見RAM鑒權。
操作步驟
權限原則樣本
- 樣本1:對VPC的管理授權
假設您的阿里雲帳號ID為1234567,授權RAM使用者管理該帳號下的所有VPC,使某個RAM使用者具有操作所有VPC的許可權。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "acs:vpc:*:1234567:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] } - 樣本2:對VPC中vSwitch的管理授權
假設您只想授權華北1(青島)地區下的vSwitch的系統管理權限,使某個RAM使用者可以對該地區下的vSwitch進行建立、刪除、綁定子網路由、解除綁定子網路由的操作,對於其它地區的vSwitch只有查看許可權。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*VSwitch*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-qingdao:*:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] } - 樣本3:只允許操作特定地區下的路由表以及路由表中的路由條目
假設您的阿里雲帳號ID為1234567,在多個地區建立了VPC,該許可權只授予某個RAM使用者對華東1(杭州)地區VPC的操作許可權,且操作許可權僅限於:允許新增、刪除路由條目,允許建立子網路由並綁定vSwitch,對於其它地區的雲端服務只有查看許可權。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "slb:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "rds:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*RouteEntry*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-hangzhou:1234567:*/*" ], "Condition": {} } ] } - 樣本4:只允許修改特定路由表中的路由條目
假設您只希望RAM使用者新增、刪除特定路由表中的路由條目。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*RouteEntry*" ], "Resource": [ "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }