tencent cloud

文档反馈

VPC 访问管理策略示例

最后更新时间:2020-12-01 19:51:38

    VPC 的全读写策略

    以下策略允许用户创建和管理 VPC。可向一组网络管理员关联此策略。Action 元素指定所有 VPC 相关 API。

    {
        "version": "2.0",
        "statement": [
            {
                "action": [
                    "name/vpc:*"
                ],
                "resource": "*",
                "effect": "allow"
            }
        ]
    }

    VPC 的只读策略

    以下策略允许用户查询您的 VPC 及相关资源。但用户无法创建、更新或删除它们。
    在控制台,操作一个资源的前提是可以查看该资源,所以建议您为用户开通 VPC 只读权限。

    {
        "version": "2.0",
        "statement": [
            {
                "action": [
                    "name/vpc:Describe*",
                    "name/vpc:Inquiry*",
                    "name/vpc:Get*"
                ],
                "resource": "*",
                "effect": "allow"
            }
        ]
    }

    只允许子账号管理单个 VPC

    以下策略允许用户看到所有 VPC,但只能操作 VPC A(假设 A 的 ID 是 vpc-d08sl2zr)及 A 下的网络资源(如子网、路由表等,不包括云服务器、数据库等),但不允许该用户管理其它 VPC。
    该版本不支持只让用户看到 A,后续版本会支持。

    {
        "version": "2.0",
        "statement": [
            {
                "action": "name/vpc:*",
                "resource": "*",
                "effect": "allow",
                "condition": {
                    "string_equal_if_exist": {  //请按照条件判断,只允许管理符合条件的VPC
                        "vpc:vpc": [
                        "vpc-d08sl2zr"
                        ],
                        "vpc:accepter_vpc": [
                         "vpc-d08sl2zr"
                        ],
                         "vpc:requester_vpc": [
                         "vpc-d08sl2zr"
                        ]
                    }
                }
            }
        ]
    }

    允许用户管理 VPC,但不允许操作路由表

    以下策略允许用户读写 VPC 及其相关资源,但是不允许用户对路由表进行相关操作。

    {
        "version": "2.0",
        "statement": [
            {
                "action": [
                    "name/vpc:*"
                ],
                "resource": "*",
                "effect": "allow"
            },
            {
                "action": [
                    "name/vpc:AssociateRouteTable",
                    "name/vpc:CreateRoute",
                    "name/vpc:CreateRouteTable",
                    "name/vpc:DeleteRoute",
                    "name/vpc:DeleteRouteTable",
                    "name/vpc:ModifyRouteTableAttribute"
                ],
                "resource": "*",
                "effect": "deny"
            }
        ]
    }

    允许用户管理 VPN 资源

    该策略允许用户查看所有 VPC 资源,但只允许其对 VPN 进行增、删、改、查操作。

    {
        "version": "2.0",
        "statement": [
            {
                "action": [
                    "name/vpc:Describe*",
                    "name/vpc:Inquiry*",
                    "name/vpc:Get*"
                ],
                "resource": "*",
                "effect": "allow"
            },
            {
                "action": [
                    "name/vpc:*Vpn*",
                    "name/vpc:*UserGw*"
                ],
                "resource": "*",
                "effect": "allow"
            }
        ]
    }
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持