Topik ini menjelaskan cara mengelola izin Virtual Private Cloud (VPC) untuk pengguna Resource Access Management (RAM). Di Konsol RAM, Anda dapat membuat kebijakan kustom dan melampirkannya ke pengguna RAM.
Informasi latar belakang
Sebelum mengelola izin VPC untuk pengguna RAM, perhatikan kebijakan sistem berikut:
AliyunVPCFullAccess: memberikan izin kepada pengguna RAM untuk mengelola VPC.
AliyunECSReadOnlyAccess: memberikan izin read-only pada VPC.
Jika kebijakan sistem tidak memenuhi kebutuhan bisnis Anda, Anda dapat membuat kebijakan kustom.
Sebelum mengelola izin VPC untuk pengguna RAM, pahami terlebih dahulu izin VPC tersebut. Untuk informasi selengkapnya, lihat Grant permissions to a RAM user.
Prosedur
Buat pengguna RAM.
Untuk informasi selengkapnya, lihat Create a RAM user.
Buat kebijakan kustom.
Untuk informasi selengkapnya, lihat Create custom policies dan Policy examples.
Lampirkan kebijakan ke pengguna RAM.
Untuk informasi selengkapnya, lihat Grant permissions to a RAM user.
Contoh kebijakan
Contoh 1: Berikan otorisasi kepada pengguna RAM untuk mengelola semua VPC.
Untuk memberikan otorisasi kepada pengguna RAM mengelola semua VPC di akun Alibaba Cloud Anda 1234567, gunakan skrip contoh berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*" ], "Resource": [ "acs:vpc:*:1234567:*/*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }Contoh 2: Berikan otorisasi kepada pengguna RAM untuk mengelola vSwitch dalam suatu VPC.
Untuk memberikan otorisasi kepada pengguna RAM mengelola vSwitches dari VPC di wilayah China (Qingdao), gunakan kebijakan berikut. Setelah kebijakan dilampirkan ke pengguna RAM, pengguna RAM dapat membuat, menghapus, mengaitkan, atau membatalkan pengaitan rute subnet untuk vSwitches dari VPC di wilayah China (Qingdao). Pengguna RAM hanya dapat melihat vSwitches di wilayah lain.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*VSwitch*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-qingdao:*:*/*" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] } ] }Contoh 3: Berikan otorisasi kepada pengguna RAM untuk mengelola tabel rute dan entri rute di wilayah tertentu.
Untuk memberikan otorisasi kepada pengguna RAM mengelola semua VPC di wilayah China (Hangzhou), gunakan skrip contoh berikut. Pengguna RAM termasuk dalam akun Alibaba Cloud Anda 1234567. Setelah pengguna RAM diberi otorisasi, pengguna RAM dapat menambah atau menghapus rute, membuat rute subnet, dan mengaitkan vSwitches di wilayah ini. Pengguna RAM hanya dapat melihat layanan cloud di wilayah lain.
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "slb:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "rds:*Describe*" ], "Resource": [ "*" ], "Condition": {} }, { "Effect": "Allow", "Action": [ "vpc:*Describe*", "vpc:*RouteEntry*", "vpc:*RouteTable*" ], "Resource": [ "acs:vpc:cn-hangzhou:1234567:*/*" ], "Condition": {} } ] }Contoh 4: Berikan otorisasi kepada pengguna RAM untuk menambah atau menghapus entri rute dalam tabel rute tertentu.
Untuk memberikan otorisasi kepada pengguna RAM menambah atau menghapus rute dalam tabel rute tertentu, gunakan kebijakan berikut:
{ "Version": "1", "Statement": [ { "Effect": "Allow", "Action": [ "vpc:*RouteEntry*" ], "Resource": [ "acs:vpc:cn-qingdao:*:routetable/vtb-m5e64ujkb7xn5zlq0xxxx" ] }, { "Effect": "Allow", "Action": [ "vpc:*Describe*" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "ecs:*Describe*" ], "Resource": [ "*" ] } ] }