操作场景
您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在控制台中查看和使用特定资源的权限。本文档提供了查看和使用公网 NAT 网关特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。
授权定义
CAM 中可对公网 NAT 网关进行授权的资源
资源类型 | 授权策略中的资源描述方法 |
NAT 网关实例 | qcs::vpc:{region_short_name}:uin/{Uin}:nat/{NatGatewayId} |
NAT 网关接口 | qcs::vpc:{region_short_name}:uin/{Uin}:nat/* |
其中:
所有
{region_short_name}应为某个 region 的 ID,可以为空。所有
{Uin}应为资源拥有者的 AccountId,或者“*”。所有
{NatGatewayId}应为某个 NAT 实例的 ID,或者“*”。以此类推。
CAM 中可对公网 NAT 网关进行授权的接口
在 CAM 中,可以对一个 NAT 资源进行以下 Action 的授权。
API 操作 | 资源描述 | 接口说明 |
AssociateDirectConnectGatewayNatGateway | 专线网关绑定 NAT 网关 | qcs::vpc:$region:$account:nat/$natgatewayid qcs::vpc:$region:$account:dcg/$directconnctgatewayid |
AssociateNatGatewayAddress | NAT 网关绑定弹性 IP | qcs::vpc:$region:$account:nat/$natgatewayid |
CreateNatGateway | 创建 NAT 网关 | qcs::vpc:$region:$account:nat/* qcs::vpc:$region:$account:vpc/* |
CreateNatGatewayDestinationIpPortTranslationNatRule | 创建 NAT 网关端口转发规则 | qcs::vpc:$region:$account:nat/$natgatewayid |
CreateNatGatewaySourceIpTranslationNatRule | 创建 NAT 网关 SNAT 规则 | qcs::vpc:$region:$account:nat/$natgatewayid |
DeleteNatGateway | 删除 NAT 网关 | qcs::vpc:$region:$account:nat/* qcs::vpc:$region:$account:vpc/* |
DeleteNatGatewayDestinationIpPortTranslationNatRule | 删除 NAT 网关端口转发规则 | qcs::vpc:$region:$account:nat/$natgatewayid |
DeleteNatGatewaySourceIpTranslationNatRule | 删除 NAT 网关的 SNAT 转发规则 | qcs::vpc:$region:$account:nat/$natgatewayid |
DescribeNatGatewayDestinationIpPortTranslationNatRules | 查询 NAT 网关端口转发规则 | qcs::vpc:$region:$account:nat/$natgatewayid |
DescribeNatGatewayDirectConnectGatewayRoute | 查询专线绑定 NAT 路由 | qcs::vpc:$region:$account:nat/$natgatewayid |
DescribeNatGateways | 查询 NAT 网关 | qcs::vpc:$region:$account:nat/* |
DescribeNatGatewaySourceIpTranslationNatRules | 查询 NAT 网关 SNAT 转发规则 | qcs::vpc:$region:$account:nat/* |
DisassociateDirectConnectGatewayNatGateway | 专线网关解绑 NAT 网关 | qcs::vpc:$region:$account:nat/$natgatewayid qcs::vpc:$region:$account:dcg/$directconnctgatewayid |
DisassociateNatGatewayAddress | NAT 网关解绑弹性 IP | qcs::vpc:$region:$account:nat/$natgatewayid |
ModifyNatGatewayAttribute | 修改 NAT 网关的属性 | qcs::vpc:$region:$account:nat/$natgatewayid |
ModifyNatGatewayDestinationIpPortTranslationNatRule | 修改 NAT 网关端口转发规则 | qcs::vpc:$region:$account:nat/$natgatewayid |
ModifyNatGatewaySourceIpTranslationNatRule | 修改 NAT 网关 SNAT 转发规则 | qcs::vpc:$region:$account:nat/$natgatewayid |
ResetNatGatewayConnection | 调整 NAT 网关并发连接上限 | qcs::vpc:$region:$account:nat/$natgatewayid |
策略示例
所有 NAT 的全读写策略
授权一个子账户以 NAT 服务的完全管理权限,包括创建、管理等全部操作。
{"version": "2.0","statement": [{"action": ["vpc:*"],"resource": "qcs::vpc::$uin:nat/*","effect": "allow"}]}{"version": "2.0","statement": [{"action": ["vpc:*"],"resource": "qcs::vpc::$uin:intranat/*","effect": "allow"}]}
只读策略
授权一个子账户只读访问 NAT 的权限。
{"version": "2.0","statement": [{"action": ["vpc:Describe*"],"resource": "qcs::vpc::$uin:nat/*","effect": "allow" }]}{"version": "2.0","statement": [{"action": ["vpc:Describe*"],"resource": "qcs::vpc::$uin:intranat/*","effect": "allow"}]}
某个标签下 NAT 的全读写策略
{"version":"2.0","statement":[{"effect":"allow","action":"*","resource":"*","condition":{"for_any_value:string_equal":{"qcs:tag":["tagkey&tagvalue"]}}}]}