本文介绍了通过RAM的权限管理功能,创建相应的权限策略,从而对专有网络VPC(Virtual Private Cloud)进行权限管理,以满足RAM用户操作VPC的多种需求。
前提条件
基本信息
使用RAM对VPC进行权限管理前,请先了解几个常用的权限策略。
| 权限策略 | 描述 |
|---|---|
| AliyunVPCFullAccess | 为RAM用户授予VPC的完全管理权限。 |
| AliyunVPCReadOnlyAccess | 为RAM用户授予VPC的只读访问权限。 |
说明 关于VPC的权限定义,请参见RAM鉴权。
将自定义权限策略授权给RAM用户
VPC授权样例
- 示例1:对VPC的管理授权
假设您的阿里云账号(主账号)ID为253460731706911258,授权RAM用户(子账号)管理该账号下的所有VPC,使某个RAM用户具有操作所有VPC的权限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "acs:vpc:*:253460731706911258:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] } - 示例2:对VPC中vSwitch的管理授权
假设您只想授权青岛地域下的vSwitch的管理权限,使某个RAM用户可以对青岛地域下的vSwitch进行创建、删除、绑定子网路由及解绑子网路由的操作,对于其它地域的vSwitch只有查看权限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*VSwitch*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-qingdao:*:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] } - 示例3:只允许操作特定地域下的路由表以及路由表中的路由条目
假设您的阿里云账号(主账号)ID为283117732402483989,在多个地域创建了VPC,该权限只授予某个RAM用户(子账号)对杭州地域VPC的操作权限,且操作权限仅限于:允许新增或删除路由条目,允许创建子网路由并绑定vSwtich,对于其它地域的云产品只有查看权限。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "slb:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "rds:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*RouteEntry*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-hangzhou:283117732402483989:*/*" ], "Condition": {} } ] } - 示例4:只允许修改特定路由表中的路由条目
假设您只希望RAM用户新增或删除特定路由表中的路由条目。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*RouteEntry*" ], "Resource": [ "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }