本文介绍了通过RAM的权限管理功能,创建相应的权限策略,从而对专有网络VPC(Virtual Private Cloud)进行权限管理,以满足RAM用户操作VPC的多种需求。

前提条件

请确保您已经注册了阿里云账号。如还未注册,请先完成账号注册。具体操作,请参见账号注册

基本信息

使用RAM对VPC进行权限管理前,请先了解几个常用的权限策略。
权限策略 描述
AliyunVPCFullAccess 为RAM用户授予VPC的完全管理权限。
AliyunVPCReadOnlyAccess 为RAM用户授予VPC的只读访问权限。
说明 关于VPC的权限定义,请参见RAM鉴权

将自定义权限策略授权给RAM用户

  1. 创建自定义权限策略。
    具体操作,请参见创建自定义权限策略VPC授权样例
  2. 权限策略页面,找到目标权限策略,单击权限策略名称。
  3. 单击引用记录页签,然后单击新增授权
  4. 授权主体区域,输入需要授权的RAM用户的名称或ID。
  5. 单击确定
  6. 单击完成
    说明 您也可以直接对用户或用户组授予创建好的权限策略,具体操作,请参见为RAM用户授权为用户组授权

VPC授权样例

  • 示例1:对VPC的管理授权

    假设您的阿里云账号(主账号)ID为253460731706911258,授权RAM用户(子账号)管理该账号下的所有VPC,使某个RAM用户具有操作所有VPC的权限。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*"
                ],
                "Resource": [
                    "acs:vpc:*:253460731706911258:*/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 示例2:对VPC中vSwitch的管理授权

    假设您只想授权青岛地域下的vSwitch的管理权限,使某个RAM用户可以对青岛地域下的vSwitch进行创建、删除、绑定子网路由及解绑子网路由的操作,对于其它地域的vSwitch只有查看权限。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*",
                    "vpc:*VSwitch*",
                    "vpc:*RouteTable*"
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:*/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 示例3:只允许操作特定地域下的路由表以及路由表中的路由条目

    假设您的阿里云账号(主账号)ID为283117732402483989,在多个地域创建了VPC,该权限只授予某个RAM用户(子账号)对杭州地域VPC的操作权限,且操作权限仅限于:允许新增或删除路由条目,允许创建子网路由并绑定vSwtich,对于其它地域的云产品只有查看权限。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "slb:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "rds:*Describe*"
                ],
                "Resource": [
                    "*"
                ],
                "Condition": {}
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*",
                    "vpc:*RouteEntry*",
                    "vpc:*RouteTable*"
                ],
                "Resource": [                
    "acs:vpc:cn-hangzhou:283117732402483989:*/*"
                ],
                "Condition": {}
            }
        ]
    }
  • 示例4:只允许修改特定路由表中的路由条目

    假设您只希望RAM用户新增或删除特定路由表中的路由条目。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*RouteEntry*"
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ecs:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }