本文介绍了通过RAM的权限管理功能,创建相应的权限策略,从而对专有网络VPC(Virtual Private Cloud)进行权限管理,以满足RAM用户操作VPC的多种需求。

前提条件

请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。具体操作,请参见账号注册

基本信息

使用RAM对VPC进行权限管理前,请先了解几个常用的权限策略。
权限策略 描述
AliyunVPCFullAccess 为RAM用户授予VPC的完全管理权限。
AliyunVPCReadOnlyAccess 为RAM用户授予VPC的只读访问权限。
说明 关于VPC的权限定义,请参见RAM鉴权

将自定义权限策略授权给RAM用户

  1. 创建自定义权限策略。
    具体操作,请参见创建自定义权限策略VPC授权样例
  2. 在左侧导航栏,选择权限管理>权限策略
  3. 权限策略页面,找到目标权限策略,单击权限策略名称。
  4. 单击引用记录页签,然后单击新增授权
  5. 授权主体区域,输入需要授权的RAM用户的名称或ID。
  6. 单击确定
  7. 单击完成
    说明 您也可以直接对用户或用户组授予创建好的权限策略,具体操作,请参见为RAM用户授权为用户组授权

VPC授权样例

  • 示例1:对VPC的管理授权

    假设您的阿里云账号(主账号)ID为253460731706911258,授权RAM用户(子账号)管理该账号下的所有VPC,使某个RAM用户具有操作所有VPC的权限。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*"
            ],
            "Resource": [
                "acs:vpc:*:253460731706911258:*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
  • 示例2:对VPC中vSwitch的管理授权

    假设您只想授权青岛地域下的vSwitch的管理权限,使某个RAM用户可以对青岛地域下的vSwitch进行创建、删除、绑定子网路由及解绑子网路由的操作,对于其它地域的vSwitch只有查看权限。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Describe*",
                "vpc:*VSwitch*",
                "vpc:*RouteTable*"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}
  • 示例3:只允许操作特定地域下的路由表以及路由表中的路由条目

    假设您的阿里云账号(主账号)ID为283117732402483989,在多个地域创建了VPC,该权限只授予某个RAM用户(子账号)对杭州地域VPC的操作权限,且操作权限仅限于:允许新增或删除路由条目,允许创建子网路由并绑定vSwtich,对于其它地域的云产品只有查看权限。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {}
        },
        {
            "Effect": "Allow",
            "Action": [
                "slb:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {}
        },
        {
            "Effect": "Allow",
            "Action": [
                "rds:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {}
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Describe*",
                "vpc:*RouteEntry*",
                "vpc:*RouteTable*"
            ],
            "Resource": [                
"acs:vpc:cn-hangzhou:283117732402483989:*/*"
            ],
            "Condition": {}
        }
    ]
}
  • 示例4:只允许修改特定路由表中的路由条目

    假设您只希望RAM用户新增或删除特定路由表中的路由条目。

    {
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*RouteEntry*"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}