策略示例

最近更新时间:2024-12-02 16:45:23

我的收藏

所有 CLB 的全读写策略

操作场景

授权子账户以 CLB 服务的完全管理权限(创建、管理等全部操作)。
策略名称:QcloudCLBFullAccess
{
"version": "2.0",
"statement": [{
"action": [
"name/clb:*"
],
"resource": "*",
"effect": "allow"
}]
}

操作步骤

1. 登录访问管理控制台,选择左侧导航栏中的 策略
2. 策略管理页面,选择 QcloudCLBFullAccess 策略行的关联用户/组/角色


3. 关联用户/用户组/角色弹窗中,勾选需对 CLB 服务拥有全读写权限的账号,单击确定,即可完成子账号对 CLB 服务全读写权限的配置。

所有 CLB 的只读策略

操作场景

授权子账户只读访问 CLB 的权限(即可以查看所有 CLB 下面所有资源的权限),但子账户无法创建、更新或删除它们。在控制台,操作一个资源的前提是可以查看该资源,所以建议您为子账户开通 CLB 全读权限。
策略名称: QcloudCLBReadOnlyAccess
{
"version": "2.0",
"statement": [{
"action": [
"name/clb:Describe*"
],
"resource": "*",
"effect": "allow"
}]
}

操作步骤

1. 登录访问管理控制台,选择左侧导航栏中的 策略
2. 策略管理页面,选择 QcloudCLBReadOnlyAccess 策略行的关联用户/用户组/角色

3. 关联用户/用户组/角色弹窗中,勾选需对 CLB 服务拥有只读权限的账号,并单击确定,即可完成子账号对 CLB 服务只读权限的配置。

某个标签下 CLB 的全读写策略

授权一个子账户对某个标签(标签键为 tagkey,标签值为 tagvalue)下的 CLB 的完全管理权限(管理实例、管理监听器等全部操作),关于标签请参见 基于标签管理项目资源
CLB 实例支持配置标签和使用标签鉴权。
{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":"*",
"resource":"*",
"condition":{
"for_any_value:string_equal":{
"qcs:tag":[
"tagkey&tagvalue"
]
}
}
}
]
}

私有网络的相关策略

如果您希望用户可以查看 CLB 控制台中的私有网络信息,可先将以下操作添加到您策略中,再将该策略关联到该用户。
DescribeVpcPrivateIPResources:查看 VPC IP 资源详情
DescribeOverseaAccelerator:查询海外加速域名
DescribeCustomerGateways:查询对端网关
DescribeAddresses:查询弹性公网IP列表
DescribeNetworkInterfaces:查询弹性网卡列表
DescribeCcnAttachedInstances:查询云联网关联实例列表
DescribeSecurityGroupLimits:查询用户安全组配额
DescribeBandwidthPackages:查询带宽包资源
DescribeServiceTemplates:查询协议端口模板
DescribeAddressTemplateGroups:查询 IP 地址模板集合
DescribeAddressTemplates:查询 IP 地址模板
DescribeServiceTemplateGroups:查询协议端口模板集合
具体操作步骤如下:
1. 根据 策略,创建一个可以查看 CLB 控制台中的私有网络 VPC IP 资源和弹性公网 IP 列表信息的自定义策略。 策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [{
"action": [
"name/clb:DescribeVpcPrivateIPResources",
"name/clb:DescribeAddresses"
],
"resource": "*",
"effect": "allow"
}]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

标签的相关策略

如果您希望用户可以查看 CLB 控制台中的标签信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetTags:获取标签列表
GetTagKeys:查询标签键列表
GetTagValues:查询标签值列表
AddResourceTag:标签关联资源
DescribeEffectivePolicy:查询目标节点的有效策略
UnTagResources:资源解除关联标签
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看标签键和标签值信息的权限。策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [
{
"action": [
"name/clb:GetTagKeys",
"name/clb:GetTagValues"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

SSL 证书的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的 SSL 证书信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
UploadCertificate:上传证书
DescribeCertificates:获取证书列表
DescribeCertificateDetail:获取证书详情
ModifyCertificateAlias:修改证书备注
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看 SSL 证书列表和证书详情的权限。策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [
{
"action": [
"name/clb:DescribeCertificates",
"name/clb:DescribeCertificateDetail"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

CLS 日志的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的 CLS 日志信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeLogsets:获取日志集列表
DescribeTopics:获取日志主题列表
CreateTopic:创建日志主题
CreateLogset:创建日志集
SearchLog:查询日志
DescribeDashboards:获取仪表盘订阅列表
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有创建日志主题和查看日志主题列表的权限。策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [
{
"action": [
"name/clb:CreateTopic",
"name/clb:DescribeTopics"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

腾讯云可观测平台的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的腾讯云可观测平台信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetMonitorData:拉取监控数据
DescribeCurrentTimestamp:返回服务器当前时间戳
DescribeStorageDuration:拉取存储时长V3
DescribeBaseMetricsForConsoleFontEnd:控制台前端调用获取基础指标
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看监控数据与返回服务器当前时间戳的权限。策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [
{
"action": [
"name/clb:GetMonitorData",
"name/clb:DescribeCurrentTimestamp"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

云函数的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的云函数信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetAccount:查询账户配额
GetFunction:获取函数详情
UnbindTrigger:云函数解绑触发器
BindTrigger:云函数绑定触发器
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看账户配额与获取函数详情的权限。策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [
{
"action": [
"name/clb:GetAccount",
"name/clb:GetFunction"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

云服务器的相关策略

如果您希望用户可以查看 CLB 控制台中的云服务器信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeInstances:查看实例列表
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看实例列表的权限。策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [
{
"action": [
"name/clb:DescribeInstances"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

Web 应用防火墙的相关策略

如果您希望用户可以查看 CLB 控制台中的 Web 应用防火墙信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeHost:获取防护域名详情
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看防护域名详情的权限。策略内容可参考以下策略语法进行设置:
{
"version": "2.0",
"statement": [
{
"action": [
"name/clb:DescribeHost"
],
"resource": "*",
"effect": "allow"
}
]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定