存储网关
有奖捉虫:办公协同&微信生态&物联网文档专题 HOT
文档中心 > 存储网关 > 控制台指南 > 访问管理 > 授权策略示例

授权策略示例

最近更新时间:2023-01-10 15:27:25

我的收藏

本页目录:

操作场景

您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在存储网关(Cloud Storage Gateway,CSG)控制台中查看和使用特定资源的权限。本文档提供了查看和使用特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。

操作示例

CSG 的全读写策略

如果您希望用户拥有创建和管理 CSG 实例的权限,您可以对该用户使用名称为:QcloudCSGFullAccess 的策略。该策略仅能让用户获取操作 CSG 下所有资源的权限,您还需要授予对象存储 COS 以及私有网络 VPC 的相关权限才能让用户正常创建 CSG 实例及文件系统,具体权限可参考 可授权的 API 操作及资源类型。 具体操作步骤如下: 参考 授权管理,将预设策略 QcloudCSGFullAccess 授权给用户。
注意
CSG 的预设策略均不包含 COS 及 VPC 相关操作权限,请参考本文档额外进行授予。

CSG 的只读策略

如果您希望用户拥有查询 CSG 实例的权限,但是不具有创建、删除、启动和停止的权限,您可以对该用户使用名称为:QcloudCSGReadOnlyAccess 的策略。该策略是通过授予用户对操作 CSG 中所有以单词 “Describe” 开头的操作和所有以单词 “List” 开头的操作权限来达到目的。具体操作步骤如下: 参考 授权管理,将预设策略 QcloudCSGReadOnlyAccess 授权给用户。

授权用户拥有特定 CSG 操作权限策略

如果您希望授权用户拥有特定 CSG 操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户拥有所有对 ID 为 csg-1,地域为广州的 CSG 实例的操作权限,策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": ["name/csg:*"],
         "resource": ["qcs::csg:ap-guangzhou::gateway/csg-1"],
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的 “操作” 列中,单击关联用户/组
3. 在弹出的 “关联用户/用户组” 窗口中,选择您需要授权的用户/组,单击确定
说明
此处账户字段为空,代表创建该策略的 CAM 用户所属主账号下的资源,如您仍有疑问,可参考 资源描述方式

授权用户拥有特定地域 CSG 的操作权限策略

如果您希望授权用户拥有特定地域 CSG 的操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户拥有对广州地域的 CSG 实例的所有操作权限,策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": ["name/csg:*"],
         "resource": ["qcs::csg:ap-guangzhou::*"],
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的 “操作” 列中,单击关联用户/组
3. 在弹出的 “关联用户/用户组” 窗口中,选择您需要授权的用户/组,单击确定

授权用户拥有特定 CSG 下文件系统的操作权限策略

如果您希望授权用户拥有特定 CSG 下文件系统的操作权限,可将以下策略关联到该用户。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户拥有对 ID 为 csg-1 的 CSG 实例下 ID 为 nfs-1 的文件系统所有操作权限,策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": ["name/csg:*"],
         "resource": ["qcs::csg:ap-guangzhou::gateway/csg-1/fileshare/nfs-1"],
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的 “操作” 列中,单击【关联用户/组】。
3. 在弹出的 “关联用户/用户组” 窗口中,选择您需要授权的用户/组,单击【确定】。

授权用户创建 CSG 实例及文件系统所需的 COS 和 VPC 相关权限

在创建 CSG 实例和文件系统及查看对应存储桶生命周期时,需要额外授予用户使用 COS 及 VPC 的相关权限。具体操作步骤如下:
1. 根据 策略,创建一个自定义策略。 该策略允许用户拥有创建 CSG 实例和文件系统的权限以及全部 CSG 控制台的操作权限,策略内容可参考以下策略语法进行设置:
{
 "version": "2.0",
 "statement": [
     {
         "action": [
                    "csg:*",
                    "name/vpc:DescribeVpcEx",
                    "name/vpc:DescribeSubnetEx",
                    "name/cos:GetService",
                    "name/cos:GetBucketLifecycle"
                   ],
         "resource": ["*"],
         "effect": "allow"
     }
 ]
}
2. 找到创建的策略,在该策略行的 “操作” 列中,单击关联用户/组
3. 在弹出的 “关联用户/用户组” 窗口中,选择您需要授权的用户/组,单击确定
注意
您在 CAM 配置策略时,VPC 相关接口应为 DescribeVpcEx 和 DescribeSubnetEx。

自定义策略

如果您觉得预设策略不能满足您的要求,您可以通过创建自定义策略达到目的。 具体操作步骤请参考 策略。 更多 CSG 相关的策略语法请参考 授权策略语法
中国站