tencent cloud

文档反馈

访问管理

最后更新时间:2024-08-01 14:15:29

    操作场景

    您可以通过使用访问管理(Cloud Access Management,CAM)策略,让用户拥有在控制台中查看和使用特定资源的权限。本文档提供了查看和使用私网 NAT 网关特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。

    授权定义

    CAM 中可对私网 NAT 网关进行授权的资源

    资源类型
    授权策略中的资源描述方法
    NAT 网关实例
    qcs::vpc:{region_short_name}:uin/{Uin}:nat/{NatGatewayId}
    NAT 网关接口
    qcs::vpc:{region_short_name}:uin/{Uin}:nat/*
    其中:
    所有{region_short_name}应为某个 region 的 ID,可以为空。
    所有{Uin}应为资源拥有者的 AccountId,或者“*”。
    所有{NatGatewayId}应为某个 NAT 实例的 ID,或者“*”。
    以此类推。

    CAM 中可对私网 NAT 网关进行授权的接口

    在 CAM 中,可以对一个 NAT 资源进行以下 Action 的授权。
    API 操作
    资源描述
    接口说明
    CreatePrivateNatGateway
    创建私网 NAT 网关
    qcs::vpc:$region:$account:intranat/*
    qcs::vpc:$region:$account:vpc/*
    DeletePrivateNatGateway
    删除私网 NAT 网关
    qcs::vpc:$region:$account:intranat/$intranatid
    ModifyPrivateNatGatewayAttribute
    修改私网 NAT 网关属性
    qcs::vpc:$region:$account:intranat/$intranatid
    DescribePrivateNatGateways
    查询私网 NAT 网关
    qcs::vpc:$region:$account:intranat/*
    DescribePrivateNatGatewayLimits
    查询可创建的私网 NAT 网关配额数量
    qcs::vpc:$region:$account:intranat/*
    qcs::vpc:$region:$account:vpc/$vpcid
    CreatePrivateNatGatewayTranslationNatRule
    创建私网 NAT 网关源端转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    DeletePrivateNatGatewayTranslationNatRule
    删除私网 NAT 网关源端转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    ModifyPrivateNatGatewayTranslationNatRule
    修改私网 NAT 网关源端转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    DescribePrivateNatGatewayTranslationNatRules
    查询私网 NAT 网关源端转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    CreatePrivateNatGatewayTranslationAclRule
    创建私网 NAT 网关源端转换访问控制规则
    qcs::vpc:$region:$account:intranat/$intranatid
    DeletePrivateNatGatewayTranslationAclRule
    删除私网 NAT 网关源端转换访问控制规则
    qcs::vpc:$region:$account:intranat/$intranatid
    ModifyPrivateNatGatewayTranslationAclRule
    修改私网 NAT 网关源端转换访问控制规则
    qcs::vpc:$region:$account:intranat/$intranatid
    DescribePrivateNatGatewayTranslationAclRules
    查询私网 NAT 网关源端转换访问控制规则
    qcs::vpc:$region:$account:intranat/$intranatid
    CreatePrivateNatGatewayDestinationIpPortTranslationNatRule
    创建私网 NAT 网关目的端口转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    DeletePrivateNatGatewayDestinationIpPortTranslationNatRule
    删除私网 NAT 网关目的端口转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    ModifyPrivateNatGatewayDestinationIpPortTranslationNatRule
    修改私网 NAT 网关目的端口转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    DescribePrivateNatGatewayDestinationIpPortTranslationNatRules
    查询私网 NAT 网关目的端口转换规则
    qcs::vpc:$region:$account:intranat/$intranatid
    DescribePrivateNatGatewayRegions
    查询私网 NAT 网关可支持地域
    qcs::vpc:$region:$account:intranat/*

    策略示例

    所有 NAT 的全读写策略

    授权一个子账户以 NAT 服务的完全管理权限,包括创建、管理等全部操作。
    {
    "version": "2.0",
    "statement": [{
    "action": [
    "vpc:*"
    ],
    "resource": "qcs::vpc::$uin:nat/*",
    "effect": "allow"
    }]}
    {
    "version": "2.0",
    "statement": [{
    "action": [
    "vpc:*"
    ],
    "resource": "qcs::vpc::$uin:intranat/*",
    "effect": "allow"
    }]}

    只读策略

    授权一个子账户只读访问 NAT 的权限。
    {
    "version": "2.0",
    "statement": [{
    "action": [
    "vpc:Describe*"
    ],
    "resource": "qcs::vpc::$uin:nat/*",
    "effect": "allow" }]}
    {
    "version": "2.0",
    "statement": [{
    "action": [
    "vpc:Describe*"
    ],
    "resource": "qcs::vpc::$uin:intranat/*",
    "effect": "allow"
    }]}

    某个标签下 NAT 的全读写策略

    {
    "version":"2.0",
    "statement":[{
    "effect":"allow",
    "action":"*",
    "resource":"*",
    "condition":{
    "for_any_value:string_equal":{
    "qcs:tag":[
    "tagkey&tagvalue"
    ]}}}]}
    
    联系我们

    联系我们,为您的业务提供专属服务。

    技术支持

    如果你想寻求进一步的帮助,通过工单与我们进行联络。我们提供7x24的工单服务。

    7x24 电话支持