更新时间:2024-10-28 gmt 08:00
ecs自定义策略-九游平台
如果系统预置的ecs权限,不满足您的授权要求,可以创建自定义策略。自定义策略中可以添加的授权项(action)请参考《ecs api参考》中“ 策略及授权项说明”章节。
目前华为云支持以下两种方式创建自定义策略:
- 可视化视图创建自定义策略:无需了解策略语法,按可视化视图导航栏选择云服务、操作、资源、条件等策略内容,可自动生成策略。
- json视图创建自定义策略:可以在选择策略模板后,根据具体需求编辑策略内容;也可以直接在编辑框内编写json格式的策略内容。
具体创建步骤请参见:创建自定义策略。本章为您介绍常用的ecs自定义策略样例。
ecs自定义策略样例
- 示例1:授权仅允许用户批量开机、关机、重启云服务器
{ "version": "1.1", "statement": [ { "effect": "allow", "action": [ "ecs:cloudserverflavors:get", "ecs:cloudservers:reboot", "ecs:cloudservers:start", "ecs:cloudservers:get", "ecs:cloudservers:list", "ecs:cloudservers:stop" ] } ] } - 示例2:授权仅允许用户批量关闭云服务器、删除云服务器
{ "version": "1.1", "statement": [ { "effect": "allow", "action": [ "ecs:cloudservers:get", "ecs:cloudservers:delete", "ecs:cloudservers:list", "ecs:cloudservers:stop" ] } ] } - 示例3:授权仅允许用户通过vnc进行登录
{ "version": "1.1", "statement": [ { "effect": "allow", "action": [ "ecs:cloudserverflavors:get", "ecs:cloudservers:vnc", "ecs:cloudservers:get", "ecs:cloudservers:list" ] } ] } - 示例4:授权拒绝用户删除云服务器
拒绝策略需要同时配合其他策略使用,否则没有实际作用。用户被授予的策略中,一个授权项的作用如果同时存在allow和deny,则遵循deny优先。
如果您给用户授予ecsfullaccess的系统策略,但不希望用户拥有ecsfullaccess中定义的删除云服务器权限,您可以创建一条拒绝删除云服务的自定义策略,然后同时将ecsfullaccess和拒绝策略授予用户,根据deny优先原则,则用户可以对ecs执行除了删除云服务器外的所有操作。拒绝策略示例如下:
{ "version": "1.1", "statement": [ { "effect": "deny", "action": [ "ecs:cloudservers:delete" ] } ] }
相关文档
意见反馈
文档内容是否对您有帮助?
提交成功!非常感谢您的反馈,我们会继续努力做到更好!
您可在查看反馈及问题处理状态。
系统繁忙,请稍后重试
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
