このトピックでは、RAM コンソールでカスタムポリシーを作成し、RAM ユーザーにアタッチして、RAM ユーザーの VPC 権限を管理する方法について説明します。
始める前に
一般的なシステムポリシー
次の表に、RAM コンソールを使用して VPC 権限を管理できるシステムポリシーを示します。
ポリシー | 説明 |
---|---|
AliyunVPCFullAccess | RAM ユーザーに VPC を管理する権限を付与します。 |
AliyunVPCReadOnlyAccess | RAM ユーザーに VPC の読み取り専用権限を付与します。 |
注 VPC 権限の詳細は、「RAM の権限付与」をご参照ください。
RAM ユーザーへのカスタムポリシーのアタッチ
VPC 許可の例
- 例 1:RAM ユーザーに対して、アカウント配下の VPC の管理を許可
RAM ユーザーに対して、アカウント 1234567 配下のすべての VPC の管理を許可するには、次のスクリプトを使用します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "acs:vpc:*:1234567:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }
- 例 2:RAM ユーザーに対して、VPC 内の VSwitch の管理を許可
RAM ユーザーに対して、中国 (青島) リージョンの VPC にある VSwitch のサブネットルートの作成、削除、関連付け、関連付けの解除を許可するには、次のスクリプトを使用します。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*VSwitch*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-qingdao:*:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }
- 例 3:RAM ユーザーに対して、特定のリージョンのルートテーブルと関連するルートエントリの管理を許可
RAM ユーザー 11111111 に対して、中国 (杭州) リージョンの VPC の管理を許可するには、次のスクリプトを使用します。 この許可により、RAM ユーザーはルートエントリの追加または削除、サブネットルートの作成、中国 (杭州) リージョンの VSwitch の関連付け、他のリージョンのクラウドプロダクトの表示が可能になります。
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "slb:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "rds:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*RouteEntry*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-hangzhou:11111111:*/*" ], "Condition": {} } ] }
- 例 4:RAM ユーザーに対して、特定のルートテーブル内のルートエントリの追加または削除を許可
RAM ユーザーに対して、特定のルートテーブル内のルートエントリの追加または削除を許可するには、次のスクリプトを使用します。
{ "Version": "1", "Statement": [ { "Effect": "Allow ", "Action": [ "vpc:*RouteEntry*" ], "Resource": [ "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }