👉点击这里申请火山引擎VIP帐号,立即体验火山引擎产品>>>
本文为您介绍IAM策略的类型及IPv6网关相关的策略,以帮助您快速了解IAM策略。IAM策略支持系统预设策略和自定义策略两种类型,您可直接使用系统预设策略为IAM身份授权,但系统预设策略有限若无法满足您的需求,您可通过自定义策略精准授权,灵活管控账号资源。
系统预设策略
IAM平台已提前为您设置了关于IPv6网关的默认策略,您可为直接为IAM身份(IAM用户、用户组或角色)授权系统预设策略。系统预设策略只能用于授权,不可编辑和修改。
IPv6网关系统预设策略
系统预设策略名称 | 描述 |
IPv6GatewayFullAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内IPv6网关功能的 管理 权限。 |
IPv6GatewayReadOnlyAccess | 被授权该策略后的IAM身份(IAM用户、用户组、角色),可获得权限范围内IPv6网关功能的 只读 权限。 |
IPv6GatewayFullAccess
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:*Ipv6Address*",
"vpc:*Ipv6Gateway*",
"vpc:*Ipv6EgressOnlyRule*"
],
"Resource": [
"*"
]
}
]
}IPv6GatewayReadOnlyAccess
{
"Statement": [
{
"Effect": "Allow",
"Action": [
"vpc:*Ipv6Address*",
"vpc:*Ipv6Gateway*",
"vpc:*Ipv6EgressOnlyRule*"
],
"Resource": [
"*"
]
}
]
}IPv6网关常用操作与系统策略的关系
操作 | IPv6GatewayFullAccess | IPv6GatewayReadOnlyAccess |
创建IPv6网关 | √ | × |
查询IPv6网关 | √ | √ |
修改IPv6网关 | √ | × |
删除IPv6网关 | √ | × |
开通IPv6公网带宽 | √ | × |
查询IPv6公网带宽 | √ | √ |
修改IPv6公网带宽 | √ | × |
删除IPv6公网带宽 | √ | × |
创建仅主动出规则 | √ | × |
查询仅主动出规则 | √ | √ |
修改仅主动出规则 | √ | × |
删除仅主动出规则 | √ | × |
IPv6网关功能依赖的角色或策略
功能 | 依赖云服务 | 所需角色/策略 |
查看IPv6网关监控信息 | 云监控 | 为IAM用户授予IPv6GatewayFullAccess或IPv6GatewayReadOnlyAccess权限后,需要增加CloudMonitorReadOnlyAccess后才能查看IPv6网关的监控信息。 |
创建IPv6网关 | 私有网络 | 需要授予查询私有网络(DescribeVpcs)的权限才可创建IPv6网关。 |
开通IPv6公网带宽 | 网卡 | 需要授予查询网卡(DescribeNetworkInterfaces)的权限才能获取IPv6地址开通IPv6公网带宽。 |
创建仅主动出规则 | 云服务器 | 需要授予查询云服务器实例(DescribeInstances)的权限才能创建仅主动出规则。 |
自定义策略
类型 | 说明 | 相关文档 |
自定义策略类型 | 自定义策略根据策略可绑定的主体不同分为基于身份的策略(Identity-based policies)和基于资源的策略(Resource-based policies)。 |
|
自定义策略语法 | 自定义策略语法通过策略元素定义策略的权限,自定义“基于身份的策略”和“基于资源的策略”时,策略元素有所区别。 |
|
新建自定义策略 | 火山引擎主账号或拥有访问控制管理权限的子用户进行授权时,系统预设策略无法满足需求,可通过自定义策略精细化定义权限。 | 新建自定义策略 |
