本文为您介绍高速通道在RAM中的权限策略和示例。

背景信息

权限策略包含系统策略和自定义策略。使用RAM对高速通道进行权限管理前,请先了解以下系统策略。
权限名称 作用 适用范围
AliyunExpressConnectFullAccess 管理高速通道的权限。
  • 能够进入高速通道控制台,使用控制台的所有操作。
  • 能够调用高速通道的所有接口。
AliyunExpressConnectReadOnlyAccess 只读访问高速通道的权限。
  • 能够进入高速通道控制台,查看控制台所有页面,但无法使用新增、创建、删除等功能。
  • 能够使用高速通道的查询类接口。
当系统策略不能满足您的需求时,您可以创建自定义策略。具体操作,请参见 创建自定义权限策略

可授权的高速通道资源类型

下表列举了高速通道中可授权的资源及其描述方式,其中 $regionid/accoutid/pconnid为具体的资源ID, *代表对应的所有资源。
资源类型 授权策略中的资源描述方法
物理专线 acs:vpc:$regionid:$accountid:physicalconnection/$pconnid
acs:vpc:$regionid:$accountid:physicalconnection/*
acs:vpc:*:$accountid:physicalconnection/*
边界路由器VBR(Virtual Border Router) acs:vpc:$regionid:$accountid:virtualborderrouter/$vbrid
acs:vpc:$regionid:$accountid:virtualborderrouter/*
acs:vpc:*:$accountid:virtualborderrouter/*
路由器接口 acs:vpc:$regionid:$accountid:routerinterface/$riid
acs:vpc:$regionid:$accountid:routerinterface/*
acs:vpc:*:$accountid:routerinterface/*

自定义权限策略示例

  • 示例1:对高速通道所有专线的管理授权。

    假设您的阿里云账号(主账号)ID为132193271328****,授权RAM用户(子账号)管理该账号下的所有专线,使某个RAM用户具有操作所有专线的权限。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*PhysicalConnection*"
                ],
                "Resource": [
                    "acs:vpc:*:132193271328****:physicalconnection/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 示例2:对特定地域的高速通道VBR的管理授权。

    假设您只想授权华北1(青岛)地域下的VBR管理权限,使某个RAM用户可以对华北1(青岛)地域下的VBR实例进行创建、删除的操作。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Vbr*",
    
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:virtualborderrouter/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }
  • 示例3:对特定地域的路由器接口的管理授权。

    假设您只想授权华北1(青岛)地域下的路由器接口管理权限,使某个RAM用户可以对华北1(青岛)地域下的路由器接口进行创建、删除的操作。

    {
        "Version": "1",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*RouterInterface*"
                ],
                "Resource": [
                    "acs:vpc:cn-qingdao:*:routerinterface/ri-xxxx"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "vpc:*Describe*"
                ],
                "Resource": [
                    "*"
                ]
            }
        ]
    }