1、创建子用户
进入阿里云“访问控制RAM”控制台创建子用户,详细步骤参考请点击 。
2、为一个子用户授予只读访问 PrivateZone 的权限
在 “访问控制RAM” 控制台中,点击“用户管理”右侧“授权”按钮,为子用户附加系统授权策略“AliyunPvtzReadOnlyAccess”。
3、为一个子用户授予完全管理 PrivateZone 的权限
在 “访问控制RAM” 控制台中为子用户附加系统授权策略 “AliyunPvtzFullAccess”。
4、为一个子用户授予管理一个 PrivateZone 的权限
您需要使用自定义授权策略功能。假设您的两个Zone ID 分别是 djiow001 和 djiow002。
首先,需要在“访问控制RAM”控制台的策略管理中,创建一条自定义授权策略,取名为“AliyunPvtzSingleAccess”,配置如下;

{
"Version": "1",
"Statement": [
{
"Action": "pvtz:*",
"Resource": [
"acs:pvtz:*:*:zone/djiow001",
"acs:pvtz:*:*:zone/djiow002"
],
"Effect": "Allow"
},
{
"Action": [
"pvtz:DescribeUserServiceStatus",
"pvtz:DescribeZones",
"pvtz:DescribeRegions",
"pvtz:DescribeVpcs"
],
"Resource": "acs:pvtz:*:*:*",
"Effect": "Allow"
}
]
}
然后,将策略“AliyunPvtzSingleAccess”授权给子用户,即可完成指定Zone的授权;