概念
权限边界是腾讯云用于对子账号/角色设置权限边界的一种高级功能。当您设置子账号/角色的权限边界时,该子账号/角色只能执行子账号/角色关联策略和其权限边界的交集部分。权限边界仅限制子账号/角色拥有的最大权限范围,不能用于设置子账号/角色关联的权限,详细评估逻辑请参见下图:
使用场景
您可以使用预设策略或自定义策略为子账号/角色设置权限,该策略为子账号/角色的最大权限。本文档以一个典型案例让您轻松了解如何使用权限边界设置子账号的最大权限。
假设公司腾讯云资源管理员需要为运维员工设置权限,需满足以下需求:
公司有两个运维员工,分别拥有昵称为 Dev_tianyu、Dev_rinaling 的两个子账号。
拥有子账号 Dev_tianyu 的员工仅需要管理主账号下云数据库 MySQL 的所有权限。
拥有子账号 Dev_rinaling 的员工仅需要管理主账号下实例 ID 为 ins-1 的服务器读取权限。
公司规定所有子账号对于主账号下云服务器、 云数据库 MySQL 的相关的操作都必须在公司所在网段(10.217.182.3/24 或者 111.21.33.72/24 )操作。
操作步骤
子账号 Dev_tianyu 权限设置
1. 登录公司管理员账号,进入 用户列表页面。
2. 在用户列表页面,找到昵称为 Dev_tianyu 的子账号,单击用户昵称进入用户详情页面。
3. 在权限-权限策略操作栏,单击关联策略勾选 QcloudCDBFullAccess 策略,为子账号 Dev_tianyu 设置云数据库 MySQL 的所有权限。
4. 在权限-权限边界操作栏,单击设置边界,进入设置权限边界页面。
5. 在设置权限边界页面,单击新建自定义策略,进入新建自定义策略页面。
6. 在新建自定义策略页面,策略名称设置为 boundary-tianyu。
7. 在可视化策略生成器栏,勾选补充以下信息:
效果(Effect):选择允许。
服务(Service):选择云数据库 MySQL。
操作(Action):选择全部操作,单击确定。
资源(Resource):默认为全部资源(*)。
条件(Condition):勾选来源 IP,补充IP值为10.217.182.3/24,111.21.33.72/24。
8. 单击创建,进入设置权限边界页面。
9. 在设置权限边界页面,策略列表操作栏下勾选创建的自定义策略。
10. 单击设置边界,完成子账号 Dev_tianyu 权限设置。
子账号 Dev_rinaling 权限设置
1. 登录公司管理员账号,参考以下策略语法创建策略名称为 CVM_ins_1 的自定义策略语法,操作步骤请参见 通过策略语法创建自定义策略。
{"version": "2.0","statement": [{"effect": "allow","resource": ["qcs::cvm:gz::instance/ins-1"],"action": ["name/cvm:*"]}]}
2. 在 用户列表页面,找到昵称为 Dev_rinaling 的子账号,单击用户昵称进入用户详情页面。
3. 在权限-权限策略操作栏,单击关联策略勾选 CVM_ins_1 策略,为子账号 Dev_rinaling 设置云服务器 ins-1 的操作权限。
4. 在权限-权限边界操作栏,单击设置边界,进入设置权限边界页面。
5. 在设置权限边界页面,单击新建自定义策略,进入新建自定义策略页面。
6. 在新建自定义策略页面,策略名称设置为 boundary-rinaling。
7. 在可视化策略生成器栏,勾选补充以下信息:
效果(Effect):选择允许。
服务(Service):选择云服务器。
操作(Action):选择读操作,单击确定。
资源(Resource):默认为全部资源(*)。
条件(Condition):勾选来源 IP,补充IP值为10.217.182.3/24,111.21.33.72/24。
8. 单击创建,进入设置权限边界页面。
9. 在设置权限边界页面,策略列表操作栏下勾选 boundary-rinaling 策略。
10. 单击设置边界,完成子账号 Dev_rinaling 权限设置。
注意:
权限边界暂不支持资源列表类接口。