火山引擎私有网络使用指南-策略示例

axin 2025-05-07 575人围观 ,发现0个评论 火山引擎云服务云服务器云服务器教程


国内、香港、海外云服务器4核/4G/10M 仅31元每月,点击抢购>>>

👉点击这里申请火山引擎VIP帐号,立即体验火山引擎产品>>>

系统预设策略

IAM平台已提前为您设置了关于VPC的默认策略,您可为直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改
系统预设策略名称
描述
VPCFullAccess
被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内私有网络功能的 管理 权限。
VPCReadOnlyAccess
被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内私有网络功能的 只读 权限。
说明
通配符*:匹配0个、1个或多个字符。

VPCFullAccess

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Vpc*",
                "vpc:*Subnet*",
                "vpc:*NetworkInterface*",
                "vpc:*Route*",
                "vpc:*SecurityGroup*",
                "vpc:*HaVip*",
                "vpc:*NetworkAcl*",
                "vpc:*PrivateIpAddresses",
                "vpc:*Ipv6Addresses",
                "vpc:*FlowLog*",
                "vpc:*PrefixList*",
                "vpc:*TrafficMirror*",
                "vpc:TagResources",
                "vpc:UntagResources",
                "vpc:ListTagsForResources",
                "cen:GrantInstanceToCen",
                "cen:RevokeInstanceFromCen",
                "cen:DescribeInstanceGrantedRules",
                "quota:GetServiceQuota",
                "ecs:DescribeZones"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

VPCReadOnlyAccess

{
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Vpc*",
                "vpc:*Subnet*",
                "vpc:*NetworkInterface*",
                "vpc:*Route*",
                "vpc:*SecurityGroup*",
                "vpc:*HaVip*",
                "vpc:*NetworkAcl*",
                "vpc:*PrivateIpAddresses",
                "vpc:*Ipv6Addresses",
                "vpc:*FlowLog*",
                "vpc:*PrefixList*",
                "vpc:*TrafficMirror*",
                "vpc:TagResources",
                "vpc:UntagResources",
                "vpc:ListTagsForResources",
                "cen:GrantInstanceToCen",
                "cen:RevokeInstanceFromCen",
                "cen:DescribeInstanceGrantedRules",
                "quota:GetServiceQuota",
                "ecs:DescribeZones"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

自定义策略

Deny的优先级高于Allow,当身份对某些操作存在Deny权限时,再次赋予这些操作的Allow权限将无法生效。

示例一:拒绝删除VPC和子网

为IAM用户授权 VPCFullAccess 后,可为其再授予如下权限,拒绝删除VPC和子网。
{
  "Statement": [
    {
      "Effect": "Deny",
      "Action": [
        "vpc:DeleteVpc",
        "vpc:DeleteSubnet"
      ],
      "Resource": [
        "*"
      ]
    }
        ]
}

示例二:授予指定子网管理权限

为IAM用户授权 VPCReadOnlyAccess 后,可为其再授予指定子网(如subnet-2yyxafgve001)的权限,使其可以管理该子网。
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "vpc:*Subnet*"
      ],
      "Resource": [
        "trn:vpc:*:*:subnet/subnet-2yyxafgve001"
      ]
    }
        ]
}

示例三:授权修改指定路由表中的路由条目

仅允许IAM用户修改指定路由表vtb-2fdzao4h726f45中的路由条目。将vtb-2fdzao4h726f45中加入到项目中,并为该IAM用户在该项目授予如下权限。
{
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "vpc:DescribeRouteTable*",
        "vpc:*RouteEntry*"
      ],
      "Resource": [
        "*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
                    "vpc:Describe*",
        "ecs:Describe*",
        "vpn:Describe*",
        "natgateway:Describe*", 
        "transitrouter:Describe*" 
      ],
      "Resource": [
        "*"
      ]
    }
  ]
}
示例四:授权使用VPC标签功能
{
    "Statement":[
        {
            "Effect":"Allow",
            "Action":[
                "vpc:TagResources",
                "vpc:UntagResources",
                "vpc:ListTagsForResources"
            ],
            "Resource":[
                "*"
            ]
        }
    ]
}



上一篇:火山引擎私有网络使用指南-IAM概述 下一篇:火山引擎私有网络使用指南-配置SNAT服务器
相关阅读
axin

axin

4444文章数 0评论数
最近文章
浏览更多
热门文章
最近发表
服务器性能不足导致业务卡顿?双路E5-2698v4高配方案来了

服务器性能不足导致业务卡顿?双路E5-2698v4高配方案来了
标签列表
不容错过
关于我们
免责声明 关于我们 加入我们
广告服务
寻求报道 广告合作 联系我们 友情链接
关注我们
官方微信 新浪微博 腾讯微博 Twitter
赞助商
Copyright © 2025 版权所有:TOP云
Powered By TOPYUN 云产品资讯