VPC访问管理策略示例
最近更新时间: 2024-10-17 17:10:00
VPC 的全读写策略
以下策略允许用户创建和管理 VPC。可向一组网络管理员关联此策略。Action 元素指定所有 VPC 相关 API。
{
"version": "2.0",
"statement": [
{
"action": [
"name/vpc:*"
],
"resource": "*",
"effect": "allow"
}
]
}VPC 的只读策略
以下策略允许用户查询您的 VPC 及相关资源。但用户无法创建、更新或删除它们。 在控制台,操作一个资源的前提是可以查看该资源,所以建议您为用户开通 VPC 只读权限。
{
"version": "2.0",
"statement": [
{
"action": [
"name/vpc:Describe*",
"name/vpc:Inquiry*",
"name/vpc:Get*"
],
"resource": "*",
"effect": "allow"
}
]
}只允许子账号管理单个 VPC
以下策略允许用户看到所有 VPC,但只能操作 VPC A(假设 A 的 ID 是 vpc-d08sl2zr)及 A 下的网络资源(如子网、路由表等,不包括云服务器、数据库等),但不允许该用户管理其它 VPC。 该版本不支持只让用户看到 A,后续版本会支持。
{
"version": "2.0",
"statement": [
{
"action": "name/vpc:*",
"resource": "*",
"effect": "allow",
"condition": {
"string_equal_if_exist": {
"vpc:vpc": [
"vpc-d08sl2zr"
],
"vpc:accepter_vpc": [
"vpc-d08sl2zr"
],
"vpc:requester_vpc": [
"vpc-d08sl2zr"
]
}
}
}
]
}允许用户管理 VPC,但不允许操作路由表
以下策略允许用户读写 VPC 及其相关资源,但是不允许用户对路由表进行相关操作。
{
"version": "2.0",
"statement": [
{
"action": [
"name/vpc:*"
],
"resource": "*",
"effect": "allow"
},
{
"action": [
"name/vpc:AssociateRouteTable",
"name/vpc:CreateRoute",
"name/vpc:CreateRouteTable",
"name/vpc:DeleteRoute",
"name/vpc:DeleteRouteTable",
"name/vpc:ModifyRouteTableAttribute"
],
"resource": "*",
"effect": "deny"
}
]
}允许用户管理 VPN 资源
该策略允许用户查看所有 VPC 资源,但只允许其对 VPN 进行增、删、改、查操作。
{
"version": "2.0",
"statement": [
{
"action": [
"name/vpc:Describe*",
"name/vpc:Inquiry*",
"name/vpc:Get*"
],
"resource": "*",
"effect": "allow"
},
{
"action": [
"name/vpc:*Vpn*",
"name/vpc:*UserGw*"
],
"resource": "*",
"effect": "allow"
}
]
}