本文介紹了通過RAM的權限管理功能,創建相應的權限策略,從而對專有網絡(VPC)進行權限管理,以滿足RAM用戶操作VPC的多種需求。
背景信息
- 使用RAM對VPC進行權限管理前,請先了解以下系統策略:
- AliyunVPCFullAccess:管理VPC的權限。
- AliyunVPCReadOnlyAccess:只讀訪問VPC的權限。
當系統策略不能滿足您的需求時,您可以創建自定義策略。
- 使用RAM對VPC進行權限管理前,請先了解VPC的權限定義。更多信息,請參見RAM鑒權。
操作步驟
權限策略示例
- 示例1:對VPC的管理授權
假設您的阿里云賬號ID為1234567,授權RAM用戶管理該賬號下的所有VPC,使某個RAM用戶具有操作所有VPC的權限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "acs:vpc:*:1234567:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] } - 示例2:對VPC中vSwitch的管理授權
假設您只想授權華北1(青島)地域下的vSwitch的管理權限,使某個RAM用戶可以對該地域下的vSwitch進行創建、刪除、綁定子網路由、解綁子網路由的操作,對于其它地域的vSwitch只有查看權限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*VSwitch*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-qingdao:*:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] } - 示例3:只允許操作特定地域下的路由表以及路由表中的路由條目
假設您的阿里云賬號ID為1234567,在多個地域創建了VPC,該權限只授予某個RAM用戶對華東1(杭州)地域VPC的操作權限,且操作權限僅限于:允許新增、刪除路由條目,允許創建子網路由并綁定vSwitch,對于其它地域的云服務只有查看權限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "slb:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "rds:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*RouteEntry*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-hangzhou:1234567:*/*" ], "Condition": {} } ] } - 示例4:只允許修改特定路由表中的路由條目
假設您只希望RAM用戶新增、刪除特定路由表中的路由條目。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*RouteEntry*" ], "Resource": [ "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }