操作场景
您可以通过使用访问管理(Cloud Access Management,CAM)策略,让用户拥有在控制台中查看和使用特定资源的权限。本文档提供了查看和使用私网 NAT 网关特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。
授权定义
CAM 中可对私网 NAT 网关进行授权的资源
资源类型 | 授权策略中的资源描述方法 |
NAT 网关实例 | qcs::vpc:{region_short_name}:uin/{Uin}:nat/{NatGatewayId} |
NAT 网关接口 | qcs::vpc:{region_short_name}:uin/{Uin}:nat/* |
其中:
所有
{region_short_name}
应为某个 region 的 ID,可以为空。所有
{Uin}
应为资源拥有者的 AccountId,或者“*”。所有
{NatGatewayId}
应为某个 NAT 实例的 ID,或者“*”。以此类推。
CAM 中可对私网 NAT 网关进行授权的接口
在 CAM 中,可以对一个 NAT 资源进行以下 Action 的授权。
API 操作 | 资源描述 | 接口说明 |
CreatePrivateNatGateway | 创建私网 NAT 网关 | qcs::vpc:$region:$account:intranat/* qcs::vpc:$region:$account:vpc/* |
DeletePrivateNatGateway | 删除私网 NAT 网关 | qcs::vpc:$region:$account:intranat/$intranatid |
ModifyPrivateNatGatewayAttribute | 修改私网 NAT 网关属性 | qcs::vpc:$region:$account:intranat/$intranatid |
DescribePrivateNatGateways | 查询私网 NAT 网关 | qcs::vpc:$region:$account:intranat/* |
DescribePrivateNatGatewayLimits | 查询可创建的私网 NAT 网关配额数量 | qcs::vpc:$region:$account:intranat/* qcs::vpc:$region:$account:vpc/$vpcid |
CreatePrivateNatGatewayTranslationNatRule | 创建私网 NAT 网关源端转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
DeletePrivateNatGatewayTranslationNatRule | 删除私网 NAT 网关源端转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
ModifyPrivateNatGatewayTranslationNatRule | 修改私网 NAT 网关源端转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
DescribePrivateNatGatewayTranslationNatRules | 查询私网 NAT 网关源端转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
CreatePrivateNatGatewayTranslationAclRule | 创建私网 NAT 网关源端转换访问控制规则 | qcs::vpc:$region:$account:intranat/$intranatid |
DeletePrivateNatGatewayTranslationAclRule | 删除私网 NAT 网关源端转换访问控制规则 | qcs::vpc:$region:$account:intranat/$intranatid |
ModifyPrivateNatGatewayTranslationAclRule | 修改私网 NAT 网关源端转换访问控制规则 | qcs::vpc:$region:$account:intranat/$intranatid |
DescribePrivateNatGatewayTranslationAclRules | 查询私网 NAT 网关源端转换访问控制规则 | qcs::vpc:$region:$account:intranat/$intranatid |
CreatePrivateNatGatewayDestinationIpPortTranslationNatRule | 创建私网 NAT 网关目的端口转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
DeletePrivateNatGatewayDestinationIpPortTranslationNatRule | 删除私网 NAT 网关目的端口转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
ModifyPrivateNatGatewayDestinationIpPortTranslationNatRule | 修改私网 NAT 网关目的端口转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
DescribePrivateNatGatewayDestinationIpPortTranslationNatRules | 查询私网 NAT 网关目的端口转换规则 | qcs::vpc:$region:$account:intranat/$intranatid |
DescribePrivateNatGatewayRegions | 查询私网 NAT 网关可支持地域 | qcs::vpc:$region:$account:intranat/* |
策略示例
所有 NAT 的全读写策略
授权一个子账户以 NAT 服务的完全管理权限,包括创建、管理等全部操作。
{"version": "2.0","statement": [{"action": ["vpc:*"],"resource": "qcs::vpc::$uin:nat/*","effect": "allow"}]}{"version": "2.0","statement": [{"action": ["vpc:*"],"resource": "qcs::vpc::$uin:intranat/*","effect": "allow"}]}
只读策略
授权一个子账户只读访问 NAT 的权限。
{"version": "2.0","statement": [{"action": ["vpc:Describe*"],"resource": "qcs::vpc::$uin:nat/*","effect": "allow" }]}{"version": "2.0","statement": [{"action": ["vpc:Describe*"],"resource": "qcs::vpc::$uin:intranat/*","effect": "allow"}]}
某个标签下 NAT 的全读写策略
{"version":"2.0","statement":[{"effect":"allow","action":"*","resource":"*","condition":{"for_any_value:string_equal":{"qcs:tag":["tagkey&tagvalue"]}}}]}