负载均衡
有奖捉虫:行业应用 & 管理与支持文档专题 HOT
文档中心 > 负载均衡 > 操作指南 > 访问管理 > 策略示例

策略示例

最近更新时间:2024-04-03 17:35:41

我的收藏

本页目录:

所有 CLB 的全读写策略

操作场景

授权子账户以 CLB 服务的完全管理权限(创建、管理等全部操作)。
策略名称:QcloudCLBFullAccess
{
  "version": "2.0",
  "statement": [{
      "action": [
          "name/clb:*"
      ],
      "resource": "*",
      "effect": "allow"
  }]
}

操作步骤

1. 登录访问管理控制台,选择左侧导航栏中的 策略
2. 在“策略”管理页面,选择 QcloudCLBFullAccess 策略行的关联用户/组/角色


3. 在“关联用户/用户组/角色”弹窗中,勾选需对 CLB 服务拥有全读写权限的账号,单击确定,即可完成子账号对 CLB 服务全读写权限的配置。

所有 CLB 的只读策略

操作场景

授权子账户只读访问 CLB 的权限(即可以查看所有 CLB 下面所有资源的权限),但子账户无法创建、更新或删除它们。在控制台,操作一个资源的前提是可以查看该资源,所以建议您为子账户开通 CLB 全读权限。
策略名称: QcloudCLBReadOnlyAccess
{
  "version": "2.0",
  "statement": [{
      "action": [
          "name/clb:Describe*"
      ],
      "resource": "*",
      "effect": "allow"
  }]
}

操作步骤

1. 登录访问管理控制台,选择左侧导航栏中的 策略
2. 在“策略”管理页面,选择 QcloudCLBReadOnlyAccess 策略行的关联用户/用户组/角色

3. 在“关联用户/用户组/角色”弹窗中,勾选需对 CLB 服务拥有只读权限的账号,并单击确定,即可完成子账号对 CLB 服务只读权限的配置。

某个标签下 CLB 的全读写策略

授权一个子账户对某个标签(标签键为 tagkey,标签值为 tagvalue)下的 CLB 的完全管理权限(管理实例、管理监听器等全部操作),关于标签请参见 基于标签管理项目资源
CLB 实例支持配置标签和使用标签鉴权。
{
  "version":"2.0",
  "statement":[
      {
          "effect":"allow",
          "action":"*",
          "resource":"*",
          "condition":{
              "for_any_value:string_equal":{
                  "qcs:tag":[
                      "tagkey&tagvalue"
                  ]
              }
          }
      }
  ]
}

私有网络的相关策略

如果您希望用户可以查看 CLB 控制台中的私有网络信息,可先将以下操作添加到您策略中,再将该策略关联到该用户。
DescribeVpcPrivateIPResources:查看 VPC IP 资源详情
DescribeOverseaAccelerator:查询海外加速域名
DescribeCustomerGateways:查询对端网关
DescribeAddresses:查询弹性公网IP列表
DescribeNetworkInterfaces:查询弹性网卡列表
DescribeCcnAttachedInstances:查询云联网关联实例列表
DescribeSecurityGroupLimits:查询用户安全组配额
DescribeBandwidthPackages:查询带宽包资源
DescribeServiceTemplates:查询协议端口模板
DescribeAddressTemplateGroups:查询 IP 地址模板集合
DescribeAddressTemplates:查询 IP 地址模板
DescribeServiceTemplateGroups:查询协议端口模板集合
具体操作步骤如下:
1. 根据 策略,创建一个可以查看 CLB 控制台中的私有网络 VPC IP 资源和弹性公网 IP 列表信息的自定义策略。 策略内容可参考以下策略语法进行设置:
{
  "version": "2.0",
  "statement": [{
      "action": [
          "name/clb:DescribeVpcPrivateIPResources",
          "name/clb:DescribeAddresses"
      ],
      "resource": "*",
      "effect": "allow"
  }]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

标签的相关策略

如果您希望用户可以查看 CLB 控制台中的标签信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetTags:获取标签列表
GetTagKeys:查询标签键列表
GetTagValues:查询标签值列表
AddResourceTag:标签关联资源
DescribeEffectivePolicy:查询目标节点的有效策略
UnTagResources:资源解除关联标签
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看标签键和标签值信息的权限。策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
             "name/clb:GetTagKeys",
             "name/clb:GetTagValues"
         ],
         "resource": "*",
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

SSL 证书的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的 SSL 证书信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
UploadCertificate:上传证书
DescribeCertificates:获取证书列表
DescribeCertificateDetail:获取证书详情
ModifyCertificateAlias:修改证书备注
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看 SSL 证书列表和证书详情的权限。策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
             "name/clb:DescribeCertificates",
             "name/clb:DescribeCertificateDetail"
         ],
         "resource": "*",
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

CLS 日志的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的 CLS 日志信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeLogsets:获取日志集列表
DescribeTopics:获取日志主题列表
CreateTopic:创建日志主题
CreateLogset:创建日志集
SearchLog:查询日志
DescribeDashboards:获取仪表盘订阅列表
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有创建日志主题和查看日志主题列表的权限。策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
             "name/clb:CreateTopic",
             "name/clb:DescribeTopics"
         ],
         "resource": "*",
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

腾讯云可观测平台的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的腾讯云可观测平台信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetMonitorData:拉取监控数据
DescribeCurrentTimestamp:返回服务器当前时间戳
DescribeStorageDuration:拉取存储时长V3
DescribeBaseMetricsForConsoleFontEnd:控制台前端调用获取基础指标
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看监控数据与返回服务器当前时间戳的权限。策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
             "name/clb:GetMonitorData",
             "name/clb:DescribeCurrentTimestamp"
         ],
         "resource": "*",
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

云函数的相关策略

如果您希望用户可以查看并使用 CLB 控制台中的云函数信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
GetAccount:查询账户配额
GetFunction:获取函数详情
UnbindTrigger:云函数解绑触发器
BindTrigger:云函数绑定触发器
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看账户配额与获取函数详情的权限。策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
             "name/clb:GetAccount",
             "name/clb:GetFunction"
         ],
         "resource": "*",
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

云服务器的相关策略

如果您希望用户可以查看 CLB 控制台中的云服务器信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeInstances:查看实例列表
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看实例列表的权限。策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
             "name/clb:DescribeInstances"
         ],
         "resource": "*",
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定

Web 应用防火墙的相关策略

如果您希望用户可以查看 CLB 控制台中的 Web 应用防火墙信息,可先将以下操作添加到您的策略中,再将该策略关联到该用户。
DescribeHost:获取防护域名详情
具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户在 CLB 控制台中具有查看防护域名详情的权限。策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
             "name/clb:DescribeHost"
         ],
         "resource": "*",
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的操作列中,单击关联用户/组/角色
3. 在弹出的关联用户/用户组/角色窗口中,选择您需要授权的用户/组,单击确定
中国站