Loading [MathJax]/jax/output/CommonHTML/config.js
前往小程序,Get更优阅读体验!
立即前往
文档建议反馈控制台
首页
学习
活动
专区
圈层
工具
MCP广场
文章/答案/技术大牛
发布
首页
学习
活动
专区
圈层
工具
MCP广场
返回腾讯云官网
社区首页 >专栏 >如何限制子账号只能在某个VPC下创建CVM服务器,并且只能绑定某个安全组

如何限制子账号只能在某个VPC下创建CVM服务器,并且只能绑定某个安全组

原创
作者头像
camljy
发布于 2024-11-18 17:17:58
发布于 2024-11-18 17:17:58
3010
举报
文章被收录于专栏:访问管理CAM访问管理CAM
关联问题
换一批

问:如何限制子账号只能在某个VPC下创建CVM服务器,并且只能绑定某个安全组

可以通过创建自定策略解决该问题,在下整理了控制台操作和API操作两种策略写法,可以根据自己的实际情况进行修改

为什么要写两个版本呢,因为控制台和API操作所用到的接口略微有些不同,控制台需要用鼠标进行选择,需要部分资源列表的权限,所以控制台策略里比API策略多了VPC和子网列表的权限

最终效果:客户通过控制台或者API创建CVM时,只能选择指定的VPC和安全组,选择非指定的VPC和安全组将报错,没有权限

注:这个只是提供一个策略模板,并不是只能限制VPC和安全组,比如镜像,子网都可以限制,按自己的需求修改对应的资源ID即可

1、控制台

代码语言:json
AI代码解释
复制
{
    "statement": [
        {
            "action": [
                "cvm:RunInstances"//创建服务接口
            ],
            "effect": "allow",
            "resource": [
                "qcs::vpc:::vpc/vpc-lw8hhxxx",  //VPCID,可以加多个,一行一个
                "qcs::cvm:::sg/sg-fffa0b",//安全组ID
                "qcs::vpc:::subnet/*",//*为该VPC下的所有子网,您可以根据需要修改成具体的子网ID
                "qcs::cvm:::image/*",//镜像ID,*为所有镜像,也可以修改成具体的镜像ID
                "qcs::cvm:::instance/*",//默认为*,不用修改
                "qcs::cvm:::systemdisk/*",//默认为*,不用修改
                "qcs::cvm:::datadisk/*"//默认为*,不用修改
            ]
        },
        {
            "action": [
                "vpc:DescribeAddressInventory"//不需要动
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "vpc:DescribeVpcEx",//vpc列表接口
                "vpc:DescribeSubnetEx"//子网列表接口
            ],
            "effect": "allow",
            "resource": [
                "qcs::vpc:::vpc/*",//*为所有vpc列表,您可以修改成具体的vpcID,可以写多个,一行一个,这里只是允许子账号在购买页面选择vpc,但是否可以在该vpc下创建服务器,需要看上面指定的是哪个vpc
                "qcs::vpc:::subnet/*"//*为所有子网列表,您可以修改成具体的vpcID,可以写多个,一行一个,跟上面同理
            ]
        },
        {
            "action": [
                "cvm:*"//这个模块是限制子账号可以访问哪些服务器,云盘和镜像,如果只需要子账号创建服务器,不需要管理,可以把这个模块删除,删除{},所有内容,包括括号
            ],
            "effect": "allow",
            "resource": [
                "qcs::cvm:::instance/*",//服务器ID,*为所有服务器,可以修改为具体的服务器ID,可以写多个,一行一个
                "qcs::cvm:::volume/*",//云盘ID,*为所有云盘,可以修改为具体的云盘ID,可以写多个,一行一个
                "qcs::cvm:::image/*"//镜像ID,*为所有镜像,可以修改为具体的镜像ID,可以写多个,一行一个
            ]
        },
        {
            "action": [
                "tag:*"//标签模块,不需要可以删除,删除{},所有内容,包括括号
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": "finance:*",//购买服务器的财务权限
            "effect": "allow",
            "resource": "qcs::cvm:::*"
        }
    ],
    "version": "2.0"
}

再来版不带注释的

代码语言:json
AI代码解释
复制
{
    "statement": [
        {
            "action": [
                "cvm:RunInstances"
            ],
            "effect": "allow",
            "resource": [
                "qcs::vpc:::vpc/vpc-lwsssd",
                "qcs::cvm:::sg/sgfff0b",
                "qcs::vpc:::subnet/*",
                "qcs::cvm:::image/*",
                "qcs::cvm:::instance/*",
                "qcs::cvm:::systemdisk/*",
                "qcs::cvm:::datadisk/*"
            ]
        },
        {
            "action": [
                "vpc:DescribeAddressInventory"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": [
                "vpc:DescribeVpcEx",
                "vpc:DescribeSubnetEx"
            ],
            "effect": "allow",
            "resource": [
                "qcs::vpc:::vpc/*",
                "qcs::vpc:::subnet/*"
            ]
        },
        {
            "action": [
                "cvm:*"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cvm:::instance/*",
                "qcs::cvm:::volume/*",
                "qcs::cvm:::image/*"
            ]
        },
        {
            "action": [
                "tag:*"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": "finance:*",
            "effect": "allow",
            "resource": "qcs::cvm:::*"
        }
    ],
    "version": "2.0"
}

2、API

代码语言:json
AI代码解释
复制
{
    "statement": [
        {
            "action": [
                "cvm:RunInstances"//创建服务接口
            ],
            "effect": "allow",
            "resource": [
                "qcs::vpc:::vpc/vpc-lwxxxxcd",  //VPCID,可以加多个,一行一个
                "qcs::cvm:::sg/sg-jzxxx0b",//安全组ID
                "qcs::vpc:::subnet/*",//*为该VPC下的所有子网,您可以根据需要修改成具体的子网ID
                "qcs::cvm:::image/*",//镜像ID,*为所有镜像,也可以修改成具体的镜像ID
                "qcs::cvm:::instance/*",//默认为*,不用修改
                "qcs::cvm:::systemdisk/*",//默认为*,不用修改
                "qcs::cvm:::datadisk/*"//默认为*,不用修改
            ]
        },
        {
            "action": [
                "cvm:*"//这个模块是限制子账号可以访问哪些服务器,云盘和镜像,如果只需要子账号创建服务器,不需要管理,可以把这个模块删除,删除{},所有内容,包括括号
            ],
            "effect": "allow",
            "resource": [
                "qcs::cvm:::instance/*",//服务器ID,*为所有服务器,可以修改为具体的服务器ID,可以写多个,一行一个
                "qcs::cvm:::volume/*",//云盘ID,*为所有云盘,可以修改为具体的云盘ID,可以写多个,一行一个
                "qcs::cvm:::image/*"//镜像ID,*为所有镜像,可以修改为具体的镜像ID,可以写多个,一行一个
            ]
        },
        {
            "action": [
                "tag:*"//标签模块,不需要可以删除,删除{},所有内容,包括括号
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": "finance:*",//购买服务器的财务权限
            "effect": "allow",
            "resource": "qcs::cvm:::*"
        }
    ],
    "version": "2.0"
}

再来版不带注释的

代码语言:json
AI代码解释
复制
{
    "statement": [
        {
            "action": [
                "cvm:RunInstances"
            ],
            "effect": "allow",
            "resource": [
                "qcs::vpc:::vpc/vpc-lxxxxxcd",
                 "qcs::cvm:::sg/sg-jxxxx0b",
                "qcs::vpc:::subnet/*",
                "qcs::cvm:::image/*",
                "qcs::cvm:::instance/*",
                "qcs::cvm:::systemdisk/*",
                "qcs::cvm:::datadisk/*"
            ]
        },
        {
            "action": [
                "cvm:*"
            ],
            "effect": "allow",
            "resource": [
                "qcs::cvm:::instance/*",
                "qcs::cvm:::volume/*",
                "qcs::cvm:::image/*"
            ]
        },
        {
            "action": [
                "tag:*"
            ],
            "effect": "allow",
            "resource": [
                "*"
            ]
        },
        {
            "action": "finance:*",
            "effect": "allow",
            "resource": "qcs::cvm:::*"
        }
    ],
    "version": "2.0"
}

3、创建策略并授权

https://console.cloud.tencent.com/cam/policy

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

访问管理
云服务器

原创声明:本文系作者授权腾讯云开发者社区发表,未经许可,不得转载。

如有侵权,请联系 cloudcommunity@tencent.com 删除。

访问管理
云服务器
#CAM
#CVM
评论
登录后参与评论
暂无评论
登录 后参与评论
推荐阅读
CAM授权协作者账号操作CVM
云服务器访问管理
https://console.cloud.tencent.com/cam/policy
高鹏-bryan
2020/04/04
1.3K0
CAM授权协作者账号操作CVM
terraform简单的开始-vpc cvm创建
terraform云资源自动化 for Terraform腾讯云
一个 resource 块包含 resource 关键字、资源类型、资源名和资源块体三部分。这是terraform中创建资源常用的格式!
对你无可奈何
2023/09/20
5430
Terraform系列二腾讯云CVM进一步相关玩法
资源编排 TIC云服务器
紧接Terraform系列一腾讯云CVM相关简单创建。准备围绕着cvm先熟悉一下基本的流程。比如:系统盘扩容,挂载数据盘,帐号密钥ssh-key,绑定公网ip.研究一下官方文档体验一下!
对你无可奈何
2022/03/31
2.6K1
terraform 入门:创建腾讯云 k8s 集群
资源编排 TICkubernetes容器服务
本文适合不喜欢在浏览器中点点点,并刚刚入门或者想要入门 terraform 的小伙伴。
谢正伟
2021/08/05
4.1K0
terraform 入门:创建腾讯云 k8s 集群
账号管理实践 - 通过CAM实现按组织架构匹配权限
https网络安全私有网络访问管理云服务器
修改手机号码:https://cloud.tencent.com/document/product/378/43092
本地专用集群CDC
2022/11/16
6670
windows terraform创建云服务器
云服务器windows serverwindows
terraform跨平台、跟多家公有云都有对接,之前我写过一篇linux平台terraform创建云服务器的文档,这里介绍windows平台terraform创建云服务器。
Windows技术交流
2024/12/20
5820
THPC Slurm调度器 快速入门
玩转腾讯云腾云先锋文件存储
注册腾讯云:https://cloud.tencent.com/document/product/378/17985
相柳
2022/05/06
2.2K2
THPC Slurm调度器 快速入门
Terraform系列一腾讯云CVM相关简单创建
云服务器命令行工具
记得2019左右就看到过Terraform系列的文章和书籍,当时所有的业务都上云了管理也很是方便,看了一眼就没有作过多的研究。但本着对技术发展的前瞻敏锐性, 还是觉得这个东西是会火起来的。正巧最近泽阳大佬devops训练营https://www.yuque.com/devopsvip穿插上了Terraform!个人又开始体验了一把......
对你无可奈何
2022/03/30
4.1K5
培训认证环境购买:利用接口批量创建CVM
云服务器
当前GTS学苑,TCS、TBDS、TSF、TDSQL以及TBASE等腾讯云自研产品的培训都需要学员自带环境,在培训过程中使用学员自己的环境进行实操演练。每个产品的培训环境对CVM的数量以及配置都有不同要求。一套产品培训的实操环境少则4台,多则接近20台,而且CVM的配置有差异。学员在环境准备的时候如果使用人工购买的方式,就需要花费较多时间进行环境的准备工作,效率低且繁琐。本文将基于GTS学苑当前环境使用情况,介绍自动化创建CVM的功能,并附录主要的培训产品相关创建机器的代码,供学员自行下载并运行。
苏欣
2022/02/18
3.9K0
基于腾讯云自动化助手打造ImageBuilder
云服务器
在腾讯云上制作云服务器系统镜像都需要用户手动进行,主要有以下几个步骤:1.创建一台云服务器2.登录到机器上安装软件3.关机制作镜像4.同步镜像到其他地域。这个手动的过程非常繁琐、耗时、容易出错,并且一旦有软件更新就需要重新制作,整个过程又需要重复一次。
风之泪
2021/03/28
6.7K2
基于腾讯云自动化助手打造ImageBuilder
使用 Packer 创建镜像
云服务器windows serverwindows
HashiCorp 是一家国外基础软件提供商,主要开发支持多云部署的开源工具,旗下有6 款主流软件,Terraform、Consul、Vagrant、Nomad、Vault、Packer
Windows技术交流
2023/06/16
8330
腾讯云Terraform应用指南(一)
私有网络网络安全
《腾讯云Terraform应用指南》系列文章旨在帮助腾讯云用户借助Terraform,轻松使用简单模板语言来定义、预览和部署云基础结构,让用户通过IaC,基于腾讯云的OpenAPI一键创建或销毁多路资源。利用Terraform这把利器,帮助用户节约资源开销,提高从部署到运维的自动化生产力。
生态产品团队
2019/07/26
19.9K5
腾讯云 TCCLI 实践分享
云服务器云 APIapi
本文将结合实际用户场景需求,提供相关 TCCLI 的实践例子,希望能帮助大家更快速掌握 TCCLI 的用法。
腾讯云计算产品团队
2018/07/10
10.9K0
TKE操作指南 - 创建TKE CVM容器集群(八)
kubernetes
现在跳转到了私有网络创建界面,由于容器集群网络只支持私有网络,点击现在新建(容器集群网络只支持私有网络),输出私有网络名称(fengliang-vpc),和子网名称(fengliang-subnet-vpc),可用区我这里选择的是广州三区,点击创建。
亮哥说TKE
2019/08/02
2.3K0
腾讯云 TCCLI 实践分享
apiwindows命令行工具编程算法数据结构
腾讯云命令行工具(TCCLI)是管理腾讯云资源的统一工具。使用腾讯云命令行工具,您可以快速调用腾讯云 API 来管理您的腾讯云资源。您还可以基于腾讯云的命令行工具来做自动化和脚本处理,以更多样的方式进行组合和重用。
勤劳的小蜜蜂
2019/08/13
1.5K0
如何2分钟用terraform创建腾讯云CLB+CVM+Mysql资源?
轻量应用服务器terraform
大家好,随着腾讯云业务资源不断完善,公司业务不断增长,需要使用的资源和运维配置也越来越多,为大大降低资源配置复杂度,以及释放运维人员配置精力,近期发现国际多家云厂商和海外多云资源纳管SaaS平台,开始使用【Terraform】中间件生态产品,这个产品中间件通过创建一个prider虚拟中间层,实现上层业务命令转换到底层云平台的业务指令,阿里云的云架构图设计资源,就是通过Terraform中间件来完成自动业务架构创建使用的。
TCS-F
2024/05/14
3730
如何2分钟用terraform创建腾讯云CLB+CVM+Mysql资源?
腾讯云 API 3.0实践分享
云服务器云 APIapi
本文将以 CVM 的 API 为例,分享一些实际的例子(Python 语言),从例子中学会 API 3.0的正确使用姿势。
腾讯云计算产品团队
2018/06/25
18.5K6
使用Python读取Excel将命令行命令批量运行
commandexcelrow命令行python
我们知道使用Alibaba Cloud CLI是可以列出信息甚至可以做修改。但是如果我有批量的修改需求,那么我怎么去做呢
繁华是客
2024/05/10
2350
【玩转腾讯云】用RunInstances接口创建CVM时给公网IP和弹性网卡打标签
云服务器云 API
需求:创建cvm的同时,cvm及其对应的云盘、公网IP(非eip)、弹性网卡都绑定相同tag
Windows技术交流
2022/07/08
11.9K1
【VPC】AWS构建VPC并启动Web服务器
安全awsweb服务器配置
进入AWS管理控制台中,创建VPC,包括单个可用区中的一个 VPC、一个互联网网关、一个公有子网和一个私有子网,以及两个路由表和一个 NAT 网关。
Xiongan-桃子
2023/10/10
7050
【VPC】AWS构建VPC并启动Web服务器
推荐阅读
编辑精选文章
万字详解高可用架构设计Go 开发者必备:Protocol Buffers 入门指南10分钟带你彻底搞懂分布式链路跟踪
相关讨论
cvm?CVM疑问?无法领取cvm?
相关课程
轻量应用构建训练营AI绘画-StableDiffusion图像生成前端
CAM授权协作者账号操作CVM
1.3K0
terraform简单的开始-vpc cvm创建
5430
Terraform系列二腾讯云CVM进一步相关玩法
2.6K1
terraform 入门:创建腾讯云 k8s 集群
4.1K0
账号管理实践 - 通过CAM实现按组织架构匹配权限
6670
windows terraform创建云服务器
5820
THPC Slurm调度器 快速入门
2.2K2
Terraform系列一腾讯云CVM相关简单创建
4.1K5
培训认证环境购买:利用接口批量创建CVM
3.9K0
基于腾讯云自动化助手打造ImageBuilder
6.7K2
使用 Packer 创建镜像
8330
腾讯云Terraform应用指南(一)
19.9K5
腾讯云 TCCLI 实践分享
10.9K0
TKE操作指南 - 创建TKE CVM容器集群(八)
2.3K0
腾讯云 TCCLI 实践分享
1.5K0
如何2分钟用terraform创建腾讯云CLB+CVM+Mysql资源?
3730
腾讯云 API 3.0实践分享
18.5K6
使用Python读取Excel将命令行命令批量运行
2350
【玩转腾讯云】用RunInstances接口创建CVM时给公网IP和弹性网卡打标签
11.9K1
【VPC】AWS构建VPC并启动Web服务器
7050
相关推荐
CAM授权协作者账号操作CVM
更多 >
camljy0
LV.0
这个人很懒,什么都没有留下~
文章
1
获赞
1
专栏
2
加入讨论
的问答专区 >
土林子0
相关课程
一站式学习中心 >
轻量应用构建训练营
2975人在学
云服务器
轻量应用服务器
云计算
AI绘画-StableDiffusion图像生成
1690人在学
大模型图像创作引擎
高性能应用服务
前端
1274人在学
前端
领券

腾讯云开发者

扫码关注腾讯云开发者

扫码关注腾讯云开发者

领取腾讯云代金券

热门产品

热门推荐

更多推荐

Copyright © 2013 - 2025 Tencent Cloud. All Rights Reserved. 腾讯云 版权所有 

深圳市腾讯计算机系统有限公司 ICP备案/许可证号:粤B2-20090059 深公网安备号 44030502008569

腾讯云计算(北京)有限责任公司 京ICP证150476号 |  京ICP备11018762号 | 京公网安备号11010802020287

问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档

Copyright © 2013 - 2025 Tencent Cloud.

All Rights Reserved. 腾讯云 版权所有

登录 后参与评论
1
目录