专有网络VPC自定义权限策略参考

如果系统权限策略不能满足您的要求，您可以创建自定义权限策略实现最小授权。使用自定义权限策略有助于实现权限的精细化管控，是提升资源访问安全的有效手段。本文介绍专有网络 VPC（Virtual Private Cloud）使用自定义权限策略的场景和策略示例。

什么是自定义权限策略

在基于RAM的访问控制体系中，自定义权限策略是指在系统权限策略之外，您可以自主创建、更新和删除的权限策略。自定义权限策略的版本更新需由您来维护。

创建自定义权限策略后，需为RAM用户、用户组或RAM角色绑定权限策略，这些RAM身份才能获得权限策略中指定的访问权限。
已创建的权限策略支持删除，但删除前需确保该策略未被引用。如果该权限策略已被引用，您需要在该权限策略的引用记录中移除授权。
自定义权限策略支持版本控制，您可以按照RAM规定的版本管理机制来管理您创建的自定义权限策略版本。

操作文档

创建自定义权限策略
修改自定义权限策略内容和备注
删除自定义权限策略
管理权限策略引用记录
管理自定义权限策略版本

VPC授权样例

示例1：对VPC的管理权限

假设您的账号为1234567，授权管理该账号下的所有VPC，使某个RAM用户具有操作所有VPC的权限。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*"
            ],
            "Resource": [
                "acs:vpc:*:1234567:*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

示例2：对VPC中vSwitch的管理授权

假设您只想授权青岛Region下的vSwitch的管理权限，使某个RAM用户可以对青岛Region下的vSwitch进行创建/删除/绑定子网路由/解绑子网路由的操作，对于其它地域的vSwitch只有查看权限。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Describe*",
                "vpc:*vSwitch*",
                "vpc:*RouteTable*"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:*/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "acs:ecs:cn-qingdao:*:*/*"
            ]
        }
    ]
}

示例3：只允许操作特定地域下的路由表以及路由表中的路由条目

假设您的账号为11111111，在多个地域创建了VPC，该权限只授予某个RAM用户对杭州地域VPC的操作权限，且操作权限仅限于：允许新增/删除路由条目，允许创建子网路由并绑定vSwitch，对于其它地域的云产品只有查看权限。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "slb:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "rds:*Describe*"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Describe*",
                "vpc:*RouteEntry*",
                "vpc:*RouteTable*"
            ],
            "Resource": [
                "acs:vpc:cn-hangzhou:11111111:*/*"
            ],
            "Condition": {
                
            }
        }
    ]
}

示例4：只允许修改特定路由表中的路由条目

假设您只希望RAM用户新增/删除特定路由表中的路由条目。

{
    "Version": "1",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*RouteEntry*"
            ],
            "Resource": [
                "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "vpc:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ecs:*Describe*"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

什么是自定义权限策略

操作文档

VPC授权样例

专有网络VPC系统权限策略参考 2025-04-22 18:24

专有网络VPC自定义权限策略参考 2025-04-22 18:24

目录