操作场景
您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在弹性网卡控制台中查看和使用特定资源的权限。本文档提供了查看和使用特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。
操作示例
方案一:按策略生成器生成策略
按策略生成器创建的策略,通过从策略向导中选择服务和操作,并定义资源,自动生成策略语法,简单灵活,优先推荐使用。
1. 在访问管理控制台的 策略 界面,单击左上角的新建自定义策略。
2. 在弹出的选择创建方式窗口中,单击按策略生成器创建,进入编辑策略页面。
3. 在可视化策略生成器中选择服务的页面,补充以下信息,编辑一个授权声明。(您也可以选择 JSON,使用策略语法方式编辑策略,授权效果同“可视化策略生成器”)
效果(必选):选择允许或拒绝,本例选择允许。
服务(必选):选择要授权的产品,本例选择私有网络(vpc)服务。
操作(必选):选择您要授权的操作,本例选择 DeleteNetworkInterface 接口 。
资源(必填):选择全部资源或您要授权的特定资源,本例采用资源六段式来表达:qcs::vpc:$region:$account:eni/$networkInterfaceId,其中$变量设置为实际的地域、账号、弹性网卡实例 ID 即可。
4. 完成策略授权声明编辑后,单击下一步,进入基本信息和关联用户/用户组页面。
说明
策略名称由控制台自动生成,默认为 "policygen" ,后缀数字根据创建日期生成。您可进行自定义。
可选择是否此时关联用户/用户组,也可以策略创建完成后再去关联。
5. 单击完成,完成策略的创建。
方案二:按策略语法生成策略
以下策略允许删除“eni-abcdefgh”弹性网卡实例。可向一组用户或用户组关联此策略。
{"version": "2.0","statement": [{"effect": "allow","action": ["vpc:DeleteNetworkInterface"],"resource": ["qcs::vpc::uin/10000xxxxxxx:eni/eni-abcdefgh"]}]}