所有 CLB 的全读写策略
操作场景
授权子账户以 CLB 服务的完全管理权限(创建、管理等全部操作)。
策略名称:QcloudCLBFullAccess
{"version": "2.0","statement": [{"action": ["name/clb:*"],"resource": "*","effect": "allow"}]}
操作步骤
1. 登录访问管理控制台,选择左侧导航栏中的 策略。
2. 在策略管理页面,选择 QcloudCLBFullAccess 策略行的关联用户/组/角色。
3. 在关联用户/用户组/角色弹窗中,勾选需对 CLB 服务拥有全读写权限的账号,单击确定,即可完成子账号对 CLB 服务全读写权限的配置。
所有 CLB 的只读策略
操作场景
授权子账户只读访问 CLB 的权限(即可以查看所有 CLB 下面所有资源的权限),但子账户无法创建、更新或删除它们。在控制台,操作一个资源的前提是可以查看该资源,所以建议您为子账户开通 CLB 全读权限。
策略名称: QcloudCLBReadOnlyAccess
{"version": "2.0","statement": [{"action": ["name/clb:Describe*"],"resource": "*","effect": "allow"}]}
操作步骤
1. 登录访问管理控制台,选择左侧导航栏中的 策略。
2. 在策略管理页面,选择 QcloudCLBReadOnlyAccess 策略行的关联用户/用户组/角色。
3. 在关联用户/用户组/角色弹窗中,勾选需对 CLB 服务拥有只读权限的账号,并单击确定,即可完成子账号对 CLB 服务只读权限的配置。
某个标签下 CLB 的全读写策略
授权一个子账户对某个标签(标签键为 tagkey,标签值为 tagvalue)下的 CLB 的完全管理权限(管理实例、管理监听器等全部操作),关于标签请参见 基于标签管理项目资源。
CLB 实例支持配置标签和使用标签鉴权。
{"version":"2.0","statement":[{"effect":"allow","action":"*","resource":"*","condition":{"for_any_value:string_equal":{"qcs:tag":["tagkey&tagvalue"]}}}]}
私有网络的相关策略
如果您希望用户可以查看 CLB 控制台中的私有网络信息,可先将以下操作添加到您策略中,再将该策略关联到该用户。
DescribeVpcPrivateIPResources:查看 VPC IP 资源详情
DescribeOverseaAccelerator:查询海外加速域名
DescribeCustomerGateways:查询对端网关
DescribeAddresses:查询弹性公网IP列表
DescribeNetworkInterfaces:查询弹性网卡列表
DescribeCcnAttachedInstances:查询云联网关联实例列表
DescribeSecurityGroupLimits:查询用户安全组配额
DescribeBandwidthPackages:查询带宽包资源
DescribeServiceTemplates:查询协议端口模板
DescribeAddressTemplateGroups:查询 IP 地址模板集合
DescribeAddressTemplates:查询 IP 地址模板
DescribeServiceTemplateGroups:查询协议端口模板集合
具体操作步骤如下:
1. 根据 策略,创建一个可以查看 CLB 控制台中的私有网络 VPC IP 资源和弹性公网 IP 列表信息的自定义策略。
策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:DescribeVpcPrivateIPResources","name/clb:DescribeAddresses"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。
标签的相关策略
如果您希望用户可以查看 CLB 控制台中的标签信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetTags:获取标签列表
GetTagKeys:查询标签键列表
GetTagValues:查询标签值列表
AddResourceTag:标签关联资源
DescribeEffectivePolicy:查询目标节点的有效策略
UnTagResources:资源解除关联标签
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CLB 控制台中具有查看标签键和标签值信息的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:GetTagKeys","name/clb:GetTagValues"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。
SSL 证书的相关策略
如果您希望用户可以查看并使用 CLB 控制台中的 SSL 证书信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
UploadCertificate:上传证书
DescribeCertificates:获取证书列表
DescribeCertificateDetail:获取证书详情
ModifyCertificateAlias:修改证书备注
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CLB 控制台中具有查看 SSL 证书列表和证书详情的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:DescribeCertificates","name/clb:DescribeCertificateDetail"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。
CLS 日志的相关策略
如果您希望用户可以查看并使用 CLB 控制台中的 CLS 日志信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeLogsets:获取日志集列表
DescribeTopics:获取日志主题列表
CreateTopic:创建日志主题
CreateLogset:创建日志集
SearchLog:查询日志
DescribeDashboards:获取仪表盘订阅列表
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CLB 控制台中具有创建日志主题和查看日志主题列表的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:CreateTopic","name/clb:DescribeTopics"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。
腾讯云可观测平台的相关策略
如果您希望用户可以查看并使用 CLB 控制台中的腾讯云可观测平台信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetMonitorData:拉取监控数据
DescribeCurrentTimestamp:返回服务器当前时间戳
DescribeStorageDuration:拉取存储时长V3
DescribeBaseMetricsForConsoleFontEnd:控制台前端调用获取基础指标
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CLB 控制台中具有查看监控数据与返回服务器当前时间戳的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:GetMonitorData","name/clb:DescribeCurrentTimestamp"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。
云函数的相关策略
如果您希望用户可以查看并使用 CLB 控制台中的云函数信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetAccount:查询账户配额
GetFunction:获取函数详情
UnbindTrigger:云函数解绑触发器
BindTrigger:云函数绑定触发器
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CLB 控制台中具有查看账户配额与获取函数详情的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:GetAccount","name/clb:GetFunction"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。
云服务器的相关策略
如果您希望用户可以查看 CLB 控制台中的云服务器信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeInstances:查看实例列表
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CLB 控制台中具有查看实例列表的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:DescribeInstances"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。
Web 应用防火墙的相关策略
如果您希望用户可以查看 CLB 控制台中的 Web 应用防火墙信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeHost:获取防护域名详情
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。
该策略允许用户在 CLB 控制台中具有查看防护域名详情的权限。策略内容可参考以下策略语法进行设置:
{"version": "2.0","statement": [{"action": ["name/clb:DescribeHost"],"resource": "*","effect": "allow"}]}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色。
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定。