黑石私有网络支持细化到实例级别的权限管理,您可以为人员分配管理特定 VPC 实例的管理权限。
预设策略,能帮助您快速授权,而不需要编写策略,但授权粒度会粗些,以下是黑石私有网络的两个预设策略,分别为:
预设策略名 | 授权范围描述 |
---|---|
QcloudBMVPCFullAccess | 关联后,获得所有黑石私有网络实例的增、删、改、查操作的权限。 |
QcloudBMVPCReadOnlyAccess | 关联后,只能获得查询黑石私有网络实例列表及基本信息的权限。 |
以下表格,罗列了在配置黑石私有网络的策略时,需要用到的 action、resource、condition。相关概念请参考 访问管理 章节。
注意:部分 API 鉴权时需要两种类型的实例 ID,例如黑石 NAT 网关绑定 EIP,分别需要被绑定的 NAT 网关以及用于绑定的黑石弹性公网 IP 的实例 ID,这时需要把两种云产品的资源描述都写在 Resource 里。
注意:Describe 或者 Get 指查询操作,例如拉取多个实例详情等,查询操作鉴权通过后可能会把所有实例信息都返回,而无法区别哪些是有权限哪些是没有权限的实例。但再修改、删除实例时,会再次鉴权。
Action | 鉴权参数 | 功能描述 | 条件密钥 |
---|---|---|---|
bmvpc:SubnetBindBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
黑石 NAT 网关绑定子网 | - |
bmvpc:SubnetUnBindBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
黑石网关解绑子网 | - |
bmvpc:EipUnBindBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatIdx qcs::bmeip:::eipId/$EipId |
黑石网关解绑 EIP | - |
bmvpc:EipBindBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId qcs::bmeip:::eipId/$EipId |
黑石 NAT 网关绑定 EIP | - |
bmvpc:UpgradeBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
升级黑石 NAT 网关 | - |
bmvpc:DeleteBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
删除黑石 NAT 网关 | - |
bmvpc:CreateBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId | 创建黑石 NAT 网关 | - |
bmvpc:UpdateBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
更新黑石 NAT 网关绑定信息 | - |
bmvpc:UnbindIpsToBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
黑石 NAT 网关解绑 IP | - |
bmvpc:BindIpsToBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
黑石 NAT 网关绑定 IP | - |
bmvpc:ModifyBmNatGateway | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::natId/$NatId |
修改黑石 NAT 网关名称 | - |
bmvpc:RegisterBatchIp | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::unSubnetId/$unSubnetId |
指定 VPC 内网 IP 注册 | - |
bmvpc:ApplyIps | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::unSubnetId/$unSubnetId |
VPC 内网 IP 申请 | - |
bmvpc:ModifySubnetDhcpRelayFlag | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::unSubnetId/$unSubnetId |
修改子网 Dhcp | - |
bmvpc:ModifyBmSubnetAttribute | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::unSubnetId/$unSubnetId |
修改黑石私有网络中的子网属性 | - |
bmvpc:DeleteBmSubnet | qcs::bmvpc:::unVpcId/$unVpcId qcs::bmvpc:::unSubnetId/$unSubnetId |
删除黑石私有网络的子网 | - |
bmvpc:ModifyBmVpcPeeringConnection | qcs::bmvpc:::vpcPeerId/$PeerId | 黑石修改对等连接属性 | - |
bmvpc:DeleteBmVpcPeeringConnection | qcs::bmvpc:::vpcPeerId/$PeerId | 黑石删除对等连接 | - |
bmvpc:CreateBmVpcPeeringConnection | qcs::bmvpc:::vpcPeerId/$PeerId | 黑石创建对等连接 | - |
bmvpc:EnableBmVpcPeeringConnection | qcs::bmvpc:::vpcPeerId/$PeerId | 黑石激活对等连接申请 | - |
bmvpc:RejectBmVpcPeeringConnection | qcs::bmvpc:::vpcPeerId/$PeerId | 黑石拒绝对等连接 | - |
bmvpc:AcceptBmVpcPeeringConnection | qcs::bmvpc:::vpcPeerId/$PeerId | 黑石接受对等连接 | - |
bmvpc:ReturnIps | qcs::bmvpc:::unVpcId/$unVpcId | 回收 VPC 子网 IP | - |
bmvpc:ModifyBmRouteTableAttribute | qcs::bmvpc:::unVpcId/$unVpcId | 修改黑石路由表项 | - |
bmvpc:ModifyBmVpcAttribute | qcs::bmvpc:::unVpcId/$unVpcId | 修改黑石 VPC 属性 | - |
bmvpc:CreateBmSubnet | qcs::bmvpc:::unVpcId/$unVpcId | 创建黑石私有网络的子网 | - |
bmvpc:DelBmInterface | qcs::bmvpc:::unVpcId/$unVpcId | 物理机从带 VLANTAG 子网中移除 | - |
bmvpc:DescribeBmNatSubnetEx | - | 查询子网被 NAT 网关使用情况信息 | - |
bmvpc:DescribeBmNatGateway | - | 黑石 NAT 网关列表 | - |
bmvpc:DescribeBmVpcPeeringConnections | - | 查询黑石对等连接 | - |
bmvpc:DescribeBmVpcEx | - | 查询黑石私有网络列表 | - |
bmvpc:DescribeBmSubnetEx | - | 查询黑石私有网络中的子网信息 | - |
bmvpc:DescribeBmSubnetAvailableIp | - | 获取 VPC 子网内可用 IP | - |
bmvpc:DescribeBmNatSubnetBindIps | - | 查看给定 NAT 下子网绑定的 IP | - |
bmvpc:DescribeBmSubnetIpInfo | - | 查看给定子网下的 IP 信息 | - |
bmvpc:DescribeBmSubnetIps | - | 拉取子网已分配的 IP 列表 | - |
bmvpc:DescribeBmSubnetByCpmId | - | 拉取物理机加入的所有子网列表 | - |
bmvpc:DescribeBmCpmBySubnetId | - | 拉取加入子网的所有物理机列表 | - |
bmvpc:DescribeBmRouteTableEx | - | 获取黑石路由表详情 | - |
bmvpc:CreateBmVpc | - | 创建黑石私有网络和子网 | bmvpc:unVpcId bmvpc:$unSubnetId |
bmvpc:CreateBmInterface | qcs::bmvpc:::unVpcId/$unVpcId | 物理机加入带 VLANTAG 子网 | bmvpc:unVpcId bmvpc:$unSubnetId |
本章节,我们举例两个场景的策略内容和评估逻辑,帮助您了解如何实现黑石服务器的权限分配。
场景:授权将 eip-b2h2rhs5 绑定到属于 vpc-34cxlz7z 的 NAT 网关:nat-am27agoo 以及解绑权限。
策略如下:
{
"version":"2.0",
"statement":[
{
"effect":"allow",
"action":[
"bmvpc:EipBindBmNatGateway",
"bmvpc:EipUnBindBmNatGateway"
],
"resource":[
"qcs::bmvpc:::natId/nat-am27agoo",
"qcs::bmvpc:::unVpcId/vpc-34cxlz7z",
"qcs::bmeip:::eipId/eip-b2h2rhs"
]
}
]
}
评估逻辑:
当调用 EipBindBmNatGateway 或者 EipUnBindBmNatGateway 时,CAM 会判断传入的 NatId、EipId、VpcId 是否为 nat-am27agoo、vpc-34cxlz7z、eip-b2h2rhs。【是】则鉴权通过,【否】则鉴权失败。
点击订阅新品发布会 新产品、新版本、新技术、新功能、价格调整,评论在下方,下...
git 工作流这个并不是只是前端开发只需要掌握的技能,而是程序员必备技能。它更...
棋牌游戏 服务器租用 要注意些什么事项,棋牌游戏服务器更注重的是数据安全性,T...
远程连接Windows云服务器报错:出现身份验证错误,要求的函数不受支持 远程桌面...
导语:本文整理自蚂蚁集团金融云资深技术专家祁晓龙在2021阿里云金融数据智能峰...
TOP云 (west.cn)7月24日消息,日前阿里巴巴旗下的全资子公司——盒马鲜生对外...
操作场景 实例的续费分为 包年包月类型实例 续费和 按量计费类型实例 续费两种。...
我国21世纪的时候就已经进入了电子信息时代,几乎人人都在网上冲浪,了解世界各...
操作场景 本文以 云服务器 的操作系统“Windows Server 2008 R2 Enterprise 64bi...
随着数字经济的发展,CIO承担的风险也在不断增加。他们能否以不落窠臼的创新方式...