文档首页 > > 用户指南> 权限管理> 创建VPC自定义策略

创建VPC自定义策略

分享
更新时间: 2019/12/03 GMT+08:00

如果系统预置的VPC权限,不满足您的授权要求,可以创建自定义策略。

目前华为云支持以下两种方式创建自定义策略:

  • 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
  • JSON视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写JSON格式的策略内容。

如下以定制一个用户仅能修改VPC的策略为例。分别采用可视化视图和JSON视图的配置方式创建自定义策略 。

前提条件

  • 请先在IAM控制台中开通细粒度策略,开通方法请参见:申请细粒度访问控制公测
  • 如需使用JSON视图创建自定义策略,请您先熟悉策略结构,具体请参见细粒度策略
  • 请确定自定义策略需要允许哪些操作,拒绝哪些操作,并获取操作对应的授权项。

可视化视图配置自定义策略

  1. 在IAM控制台,单击左侧导航栏的“策略”,在右上角选择“创建自定义策略”。
    图1 创建自定义策略
  2. 在“创建自定义策略”中,配置如下信息:
    图2 创建自定义策略
    • “策略名称”:填写“修改VPC”。
    • “作用范围”:根据服务的属性填写,VPC为项目级服务,选择“项目级服务”。
    • “策略配置方式”:选择可视化视图。
    • “策略内容”:
      1. 选择“允许”。
      2. 在“云服务”中选择“虚拟私有云(VPC)”。
      3. 在“操作”中勾选“ReadWrite”中的“vpc:vpcs:update”,即“修改VPC”。
      4. 单击“确定”后,自定义策略创建成功。

JSON视图配置自定义策略

  1. 在IAM控制台,单击左侧导航栏的“策略”,在右上角选择“创建自定义策略”。
    图3 创建自定义策略
  2. 在“创建自定义策略”中,填写如下参数:
    图4 自定义策略参数
    • “策略名称”:填写“修改VPC”。
    • “作用范围”:根据服务的属性填写,VPC为项目级服务,选择“项目级服务”。
    • “策略配置方式”:JSON视图。
    • 策略信息”:将如下内容拷贝至策略信息中。如下策略表示允许修改VPC。
      { 
          "Version": "1.1", 
          "Statement": [ 
              { 
                  "Effect": "Allow", 
                  "Action": [ 
                      "vpc:vpcs:update"
                  ] 
              } 
          ] 
      }
  3. 单击“确定”,系统会自动校验语法,如跳转到策略列表,则自定义策略创建成功;如提示“策略内容错误”,请按照语法规范进行修改。

验证自定义策略权限

  1. 将新创建的自定义策略授予用户组,使得用户组中的用户仅具备修改VPC的权限。
  2. 用户登录并验证自定义策略定义的权限:修改VPC。

    权限授予成功后,用户可以通过控制台以及REST API等多种方式验证。此处以登录控制台为例,介绍用户如何验证修改VPC的权限。

    1. 使用新创建的用户登录华为云,登录方法选择为“IAM用户登录”。
      • 账号名为该IAM用户所属华为云账号的名称。
      • 用户名和密码为账号在IAM创建用户时输入的用户名和密码。
    2. 在虚拟私有云VPC页面,进行修改VPC的操作,操作成功,权限配置正确并已生效。
    3. 尝试进行其他操作,例如:创建虚拟私有云。

      系统显示“权限不足”,权限配置正确并已生效。

策略样例

  • 示例1:授权用户创建和查看VPC
    { 
        "Version": "1.1", 
        "Statement": [ 
            { 
                "Effect": "Allow", 
                "Action": [ 
                    " 
                         vpc:vpcs:create 
                         vpc:svpcs:list 
                     " 
                ] 
            } 
        ] 
    }
  • 示例2:拒绝用户删除VPC

    拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在Alow和Deny,则遵循Deny优先。

    如果您给用户授予VPC Admin的系统策略,但不希望用户拥有VPC Admin中定义的删除VPC权限,您可以创建一条拒绝删除VPC的自定义策略,然后同时将VPC Admin和拒绝策略授予用户,根据Deny优先原则,则用户可以对VPC执行除了删除外的所有操作。拒绝策略示例如下:

    { 
          "Version": "1.1", 
          "Statement": [ 
                { 
    		  "Effect": "Deny", 
                      "Action": [ 
                            "vpc:vpcs:delete" 
                      ] 
                } 
          ] 
    }

分享:

    相关文档

    相关产品

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

*必选

请至少选择或填写一项反馈信息

字符长度不能超过200

提交反馈 取消

如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨

跳转到云社区