访问管理

最近更新时间:2023-08-29 14:29:21

我的收藏

操作场景

您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在控制台中查看和使用特定资源的权限。本文档提供了查看和使用公网 NAT 网关特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。

授权定义

CAM 中可对公网 NAT 网关进行授权的资源

资源类型
授权策略中的资源描述方法
NAT 网关实例
qcs::vpc:{region_short_name}:uin/{Uin}:nat/{NatGatewayId}
NAT 网关接口
qcs::vpc:{region_short_name}:uin/{Uin}:nat/*
其中:
所有{region_short_name}应为某个 region 的 ID,可以为空。
所有{Uin}应为资源拥有者的 AccountId,或者“*”。
所有{NatGatewayId}应为某个 NAT 实例的 ID,或者“*”。
以此类推。

CAM 中可对公网 NAT 网关进行授权的接口

在 CAM 中,可以对一个 NAT 资源进行以下 Action 的授权。
API 操作
资源描述
接口说明
AssociateDirectConnectGatewayNatGateway
专线网关绑定 NAT 网关
qcs::vpc:$region:$account:nat/$natgatewayid
qcs::vpc:$region:$account:dcg/$directconnctgatewayid
AssociateNatGatewayAddress
NAT 网关绑定弹性 IP
qcs::vpc:$region:$account:nat/$natgatewayid
CreateNatGateway
创建 NAT 网关
qcs::vpc:$region:$account:nat/*
qcs::vpc:$region:$account:vpc/*
CreateNatGatewayDestinationIpPortTranslationNatRule
创建 NAT 网关端口转发规则
qcs::vpc:$region:$account:nat/$natgatewayid
CreateNatGatewaySourceIpTranslationNatRule
创建 NAT 网关 SNAT 规则
qcs::vpc:$region:$account:nat/$natgatewayid
DeleteNatGateway
删除 NAT 网关
qcs::vpc:$region:$account:nat/*
qcs::vpc:$region:$account:vpc/*
DeleteNatGatewayDestinationIpPortTranslationNatRule
删除 NAT 网关端口转发规则
qcs::vpc:$region:$account:nat/$natgatewayid
DeleteNatGatewaySourceIpTranslationNatRule
删除 NAT 网关的 SNAT 转发规则
qcs::vpc:$region:$account:nat/$natgatewayid
DescribeNatGatewayDestinationIpPortTranslationNatRules
查询 NAT 网关端口转发规则
qcs::vpc:$region:$account:nat/$natgatewayid
DescribeNatGatewayDirectConnectGatewayRoute
查询专线绑定 NAT 路由
qcs::vpc:$region:$account:nat/$natgatewayid
DescribeNatGateways
查询 NAT 网关
qcs::vpc:$region:$account:nat/*
DescribeNatGatewaySourceIpTranslationNatRules
查询 NAT 网关 SNAT 转发规则
qcs::vpc:$region:$account:nat/*
DisassociateDirectConnectGatewayNatGateway
专线网关解绑 NAT 网关
qcs::vpc:$region:$account:nat/$natgatewayid
qcs::vpc:$region:$account:dcg/$directconnctgatewayid
DisassociateNatGatewayAddress
NAT 网关解绑弹性 IP
qcs::vpc:$region:$account:nat/$natgatewayid
ModifyNatGatewayAttribute
修改 NAT 网关的属性
qcs::vpc:$region:$account:nat/$natgatewayid
ModifyNatGatewayDestinationIpPortTranslationNatRule
修改 NAT 网关端口转发规则
qcs::vpc:$region:$account:nat/$natgatewayid
ModifyNatGatewaySourceIpTranslationNatRule
修改 NAT 网关 SNAT 转发规则
qcs::vpc:$region:$account:nat/$natgatewayid
ResetNatGatewayConnection
调整 NAT 网关并发连接上限
qcs::vpc:$region:$account:nat/$natgatewayid

策略示例

所有 NAT 的全读写策略

授权一个子账户以 NAT 服务的完全管理权限,包括创建、管理等全部操作。
{
"version": "2.0",
"statement": [{
"action": [
"vpc:*"
],
"resource": "qcs::vpc::$uin:nat/*",
"effect": "allow"
}]}
{
"version": "2.0",
"statement": [{
"action": [
"vpc:*"
],
"resource": "qcs::vpc::$uin:intranat/*",
"effect": "allow"
}]}

只读策略

授权一个子账户只读访问 NAT 的权限。
{
"version": "2.0",
"statement": [{
"action": [
"vpc:Describe*"
],
"resource": "qcs::vpc::$uin:nat/*",
"effect": "allow" }]}
{
"version": "2.0",
"statement": [{
"action": [
"vpc:Describe*"
],
"resource": "qcs::vpc::$uin:intranat/*",
"effect": "allow"
}]}

某个标签下 NAT 的全读写策略

{
"version":"2.0",
"statement":[{
"effect":"allow",
"action":"*",
"resource":"*",
"condition":{
"for_any_value:string_equal":{
"qcs:tag":[
"tagkey&tagvalue"
]}}}]}