黑石弹性公网 IP 支持细化到实例级别的权限管理,您可以为人员分配管理特定弹性公网 IP 实例的权限;或者属于特定 VPC 的所有弹性公网 IP 的管理权限。
预设策略,能帮助您快速授权,而不需要编写策略,但授权粒度会粗些,以下是黑石弹性公网 IP 的两个预设策略,分别为:
预设策略名 | 授权范围描述 |
---|---|
QcloudBMEIPFullAccess | 关联后,获得所有黑石弹性公网 IP 实例的增、删、改、查等操作的权限 |
QcloudBMEIPReadOnlyAccess | 关联后,只能获得查询黑石弹性公网 IP 列表及基本信息的权限 |
以下表格,罗列了在配置黑石弹性公网 IP 的策略时,需要用到的 action、resource、condition。相关概念请参考 访问管理 章节。
注意:部分 API 鉴权时需要两种类型的实例 ID,例如绑定 EIP,分别需要被绑定的黑石服务器以及用于绑定的黑石弹性公网 IP 的实例 ID,这时需要把两种云产品的资源描述都写在 Resource 里。
注意:Describe* 或者 Get* 指查询操作,例如拉取多个实例详情等,查询操作鉴权通过后可能会把所有实例信息都返回,而无法区别哪些是有权限哪些是没有权限的实例。但再修改、删除实例时,会再次鉴权。
Action | 鉴权参数 | 功能描述 | 条件密钥 |
---|---|---|---|
bmeip:EipBmUnBindVpcIp | qcs::bmeip:::eipId/$eipId | 黑石 EIP 解绑 VPCIP 云服务器或者托管 | bmvpc:unVpcId |
bmeip:EipBmBindVpcIp | qcs::bmeip:::eipId/$eipId | 黑石 EIP 绑定 VPCIP(云服务器或者托管) | bmvpc:unVpcId |
bm:UnbindEip | qcs::bmeip:::eipId/$eipId qcs::bm:::instance/$InstanceId |
解绑黑石 EIP | bmvpc:unVpcId |
bm:BindEip | qcs::bmeip:::eipId/$eipId qcs::bm:::instance/$InstanceId |
绑定黑石 EIP | bmvpc:unVpcId |
bmeip:EipBmModifyCharge | qcs::bmeip:::eipId/$eipId | 黑石 EIP 修改计费方式 | bmvpc:unVpcId |
bmeip:ModifyEipAlias | qcs::bmeip:::eipId/$eipId | 更新黑石 EIP 名称 | bmvpc:unVpcId |
bmeip:EipBmDelete | qcs::bmeip:::eipId/$eipId | 释放黑石 EIP | bmvpc:unVpcId |
bmeip:EipBmApply | qcs::bmvpc:::unVpcId/vpc-xxx | 创建黑石 EIP | - |
bmeip:DescribeEipBm | - | 黑石 EIP 查询接口 | - |
灵活使用 Condtion,即可做到 VPC 粒度的权限管理,例如授权管理特定 VPC 内的黑石弹性公网 IP 实例。
注意:在使用Condtion时,做到 VPC 粒度的授权,策略的 Resource 字段建议只需填写
*
。
"condition":
{
"Option1":{"key1":["value1","value2"]),"key2":["value1","value2"])},
"Option2":{"key1":["value1","value2"]),"key2":["value1","value2"])}
}
Option 即操作符,理解为传入的鉴权参数和 key 的运算规则。Key 和 Value 是对应的,以下是对应关系。传入的鉴权参数经过运算后应该满足 key 和 value 的要求。
key | value |
---|---|
bmvpc:unVpcId | vpc-yyyyyy(VPC 的实例 ID) |
黑石弹性公网IP只推荐使用 for_all_value:string_equal_if_exist
:
for_all_value:string_equal_if_exist,用于 condition 有一个 key 多个 value 的情况。key:value1,value2,可以做到多个 VPC 或者 subnet 的授权。
策略如下:
{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":[
"bmeip:EipBmModifyCharge"
],
"resource":[
"*"
],
"condition":{
"for_all_value:string_equal_if_exist":{
"bmvpc:unVpcId":"vpc-34cxlz7z"
}
}
}
]
}
场景:调用 EipBmModifyCharge 修改 vpc-34cxlz7z 的任一 EIP 实例的别名。
评估逻辑:
本章节,我们举例两个场景的策略内容和评估逻辑,帮助您了解如何实现黑石服务器的权限分配。
策略如下:
{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":[
"bmeip:EipBmDelete"
],
"resource":[
"qcs::bmeip:::eipId/eip-adt6pq7f"
]
}
]
}
评估逻辑:
当调用 EipBmDelete 时,CAM会判断传入的 EipId 是否为 eip-adt6pq7f,【是】则鉴权通过,【否】则鉴权失败。
策略如下:
{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":[
"bm:BindEip",
"bm:UnbindEip"
],
"resource":[
"*"
],
"condition":{
"for_all_value:string_equal_if_exist":{
"bmvpc:unVpcId":[
"vpc-34cxlz7z",
"vpc-muinpf9p"
]
}
}
}
]
}
评估逻辑:
当调用 BindEip 时,CAM 会对传入的 instanceId 和 EipID 做鉴权,发现满足 resource(*)的要求。
但要求 instanceId 和 EipID 在 vpc-34cxlz7z 或者 vpc-muinpf9p 里,【是】则鉴权通过,【否】则鉴权失败。
作者:闲鱼技术——树城 背景 闲鱼作为国内最大的二手交易电商平台,有着验货宝/...
近日, 域名 和互联网安全领域的全球领导者威瑞信公布了2020年第四季度的全球域...
问题描述 Linux裸金属服务器的静态主机名来源于创建裸金属服务器时,通过控制台...
《三国演义》第一回 “话说天下大势 分久必合 合久必分。” 这是阿里云原生多模...
操作场景 Windows云服务器变更规格后,可能会发生磁盘脱机,因此,变更规格后,...
地域 地域(region)指独立的地理区域。腾讯云不同地域之间完全隔离,保证不同地...
注册什么 域名 不需要实名认证?因为目前国内外的后缀种类多达几千个,但需要实...
域名 命名实名中什么意思?根据《中国互联网络域名管理办法》的规定, 域名注册 ...
为了创造新机遇、打造新繁荣,在“十四五”新趋势的引领下,阿里云加速器牵手全...
为了提高网站的访问速度和承载的用户访问量,企业选折购买服务器然后托管到IDC机...