虚拟私有云 vpc-j9九游会登录
云服务在iam预置了常用授权项,称为系统身份策略。如果iam系统身份策略无法满足授权要求,管理员可以根据各j9九游会登录的服务支持的授权项,创建iam自定义身份策略来进行精细的访问控制,iam自定义身份策略是对系统身份策略的扩展和补充。
除iam服务外,organizations服务中的服务控制策略(service control policy,以下简称scp)也可以使用这些授权项元素设置访问控制策略。
scp不直接进行授权,只划定权限边界。将scp绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。iam身份策略授予权限的有效性受scp限制,只有在scp允许范围内的权限才能生效。
iam服务与organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:iam服务与organizations服务权限访问控制的区别。
本章节介绍iam服务身份策略授权场景中自定义身份策略和组织服务中scp使用的元素,这些元素包含了操作(action)、资源(resource)和条件(condition)。
操作(action)
操作(action)即为身份策略中支持的授权项。
- “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
- “资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的resource元素中指定所有资源类型(“*”)。
- 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的urn。
- 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。
关于vpc定义的资源类型的详细信息请参见资源类型(resource)。
- “条件键”列包括了可以在身份策略语句的condition元素中支持指定的键值。
- 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
- 如果此列条件键没有值(-),表示此操作不支持指定条件键。
关于vpc定义的条件键的详细信息请参见条件(condition)。
- “别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的api访问。详细信息请参见身份策略兼容性说明。
您可以在身份策略语句的action元素中指定以下vpc的相关操作。
|
授权项 |
描述 |
访问级别 |
资源类型(*为必须) |
条件键 |
别名 |
|---|---|---|---|---|---|
|
vpc:vpcs:create |
授予创建虚拟私有云权限。 |
write |
vpc * |
- |
- |
|
- |
|||||
|
vpc:vpcs:get |
授予查询虚拟私有云详情权限。 |
read |
vpc * |
- |
|
|
vpc:vpcs:list |
授予查询虚拟私有云列表权限。 |
list |
vpc * |
- |
- |
|
- |
|||||
|
vpc:vpcs:update |
授予更新虚拟私有云权限。 |
write |
vpc * |
- |
|
|
- |
|||||
|
vpc:vpcs:delete |
授予删除虚拟私有云权限。 |
write |
vpc * |
- |
|
|
vpc:subnets:create |
授予创建子网权限。 |
write |
subnet * |
- |
- |
|
vpc * |
|||||
|
- |
|||||
|
vpc:subnets:get |
授予查询子网详情权限。 |
read |
subnet * |
- |
|
|
vpc:subnets:list |
授予查询子网列表权限。 |
list |
subnet * |
- |
vpc:subnets:get |
|
- |
|||||
|
vpc:subnets:update |
授予更新子网权限。 |
write |
subnet * |
- |
|
|
- |
|||||
|
vpc:subnets:delete |
授予删除子网权限。 |
write |
subnet * |
- |
|
|
vpc:subnets:createreservation |
授予创建子网预留网段权限。 |
write |
subnet * |
- |
|
|
vpc:subnets:getreservation |
授予查询子网预留网段详情权限。 |
read |
subnet * |
- |
|
|
vpc:subnets:listreservations |
授予查询子网预留网段列表权限。 |
list |
subnet * |
- |
- |
|
- |
|||||
|
vpc:subnets:updatereservation |
授予更新子网预留网段权限。 |
write |
subnet * |
- |
|
|
vpc:subnets:deletereservation |
授予删除子网预留网段权限。 |
write |
subnet * |
- |
|
|
vpc:quotas:list |
授予查询资源配额权限。 |
list |
- |
- |
vpc:quotas:get |
|
vpc:privateips:create |
授予创建私有ip权限。 |
write |
privateip * |
- |
- |
|
subnet * |
|||||
|
vpc:privateips:get |
授予查询私有ip详情权限。 |
read |
privateip * |
- |
|
|
vpc:privateips:list |
授予查询私有ip列表权限。 |
list |
privateip * |
- |
- |
|
vpc:privateips:delete |
授予删除私有ip权限。 |
write |
privateip * |
- |
|
|
vpc:securitygroups:create |
授予创建安全组权限。 |
write |
securitygroup * |
- |
- |
|
securitygrouprule |
|||||
|
- |
|||||
|
vpc:securitygroups:get |
授予查询安全组详情权限。 |
read |
securitygroup * |
- |
|
|
vpc:securitygroups:list |
授予查询安全组列表权限。 |
list |
securitygroup * |
- |
vpc:securitygroups:get |
|
- |
|||||
|
vpc:securitygroups:update |
授予更新安全组权限。 |
write |
securitygroup * |
- |
|
|
vpc:securitygroups:delete |
授予删除安全组权限。 |
write |
securitygroup * |
- |
|
|
vpc:securitygrouprules:create |
授予创建安全组规则权限。 |
write |
securitygrouprule * |
- |
|
|
securitygroup * |
|||||
|
vpc:securitygrouprules:get |
授予查询安全组规则详情权限。 |
read |
securitygrouprule * |
- |
|
|
vpc:securitygrouprules:list |
授予查询安全组规则列表权限。 |
list |
- |
vpc:securitygrouprules:get |
|
|
vpc:securitygrouprules:update |
授予更新安全组规则权限。 |
write |
securitygrouprule * |
- |
|
|
- |
|||||
|
vpc:securitygrouprules:delete |
授予删除安全组规则权限。 |
write |
securitygrouprule * |
- |
|
|
vpc:ports:create |
授予创建端口权限。 |
write |
port * |
- |
- |
|
subnet * |
|||||
|
- |
|||||
|
vpc:ports:get |
授予查询端口详情权限。 |
read |
port * |
- |
|
|
vpc:ports:list |
授予查询端口列表权限。 |
list |
port * |
- |
vpc:ports:get |
|
- |
|||||
|
vpc:ports:update |
授予更新端口权限。 |
write |
port * |
vpc:vips:update |
|
|
vpc:ports:delete |
授予删除端口权限。 |
write |
port * |
- |
|
|
vpc:peerings:create |
授予创建对等连接权限。 |
write |
peering * |
- |
|
|
vpc * |
|||||
|
vpc:peerings:get |
授予查询对等连接详情权限。 |
read |
peering * |
- |
|
|
vpc:peerings:list |
授予查询对等连接列表权限。 |
list |
peering * |
- |
vpc:peerings:get |
|
vpc:peerings:accept |
授予接受对等连接权限。 |
write |
peering * |
- |
|
|
vpc:peerings:reject |
授予拒绝对等连接权限。 |
write |
peering * |
- |
|
|
vpc:peerings:update |
授予更新对等连接权限。 |
write |
peering * |
- |
|
|
vpc:peerings:delete |
授予删除对等连接权限。 |
write |
peering * |
- |
|
|
vpc:routetables:create |
授予创建路由表权限。 |
write |
routetable * |
- |
- |
|
vpc * |
|||||
|
vpc:routetables:get |
授予查询路由表详情权限。 |
read |
routetable * |
- |
|
|
vpc:routetables:list |
授予查询路由表列表权限。 |
list |
routetable * |
- |
- |
|
- |
|||||
|
vpc:routetables:update |
授予更新路由表权限。 |
write |
routetable * |
- |
|
|
vpc:routetables:associate |
授予关联路由表权限。 |
write |
routetable * |
- |
|
|
subnet * |
|||||
|
vpc:routetables:delete |
授予删除路由表权限。 |
write |
routetable * |
- |
|
|
vpc:flowlogs:create |
授予创建流日志权限。 |
write |
flowlog * |
- |
- |
|
port |
|||||
|
subnet |
|||||
|
vpc |
|||||
|
- |
|||||
|
vpc:flowlogs:get |
授予查询流日志列表或详情权限。 |
read |
flowlog * |
- |
|
|
vpc:flowlogs:list |
授予查询流日志列表权限。 |
list |
flowlog * |
- |
vpc:flowlogs:get |
|
vpc:flowlogs:update |
授予更新流日志权限。 |
write |
flowlog * |
- |
|
|
vpc:flowlogs:delete |
授予删除流日志权限。 |
write |
flowlog * |
- |
|
|
vpc:addressgroups:create |
授予创建ip地址组权限。 |
write |
addressgroup * |
- |
- |
|
- |
|||||
|
vpc:addressgroups:get |
授予查询ip地址组详情权限。 |
read |
addressgroup * |
- |
|
|
vpc:addressgroups:list |
授予查询ip地址组列表权限。 |
list |
addressgroup * |
- |
- |
|
- |
|||||
|
vpc:addressgroups:update |
授予更新ip地址组权限。 |
write |
addressgroup * |
- |
|
|
vpc:addressgroups:delete |
授予删除ip地址组权限。 |
write |
addressgroup * |
- |
|
|
vpc:firewalls:create |
授予创建网络acl权限。 |
write |
firewall * |
- |
- |
|
- |
|||||
|
vpc:firewalls:get |
授予查询网络acl详情权限。 |
read |
firewall * |
- |
|
|
vpc:firewalls:list |
授予查询网络acl列表权限。 |
list |
firewall * |
- |
- |
|
- |
|||||
|
vpc:firewalls:update |
授予更新网络acl权限。 |
write |
firewall * |
|
- |
|
subnet |
|||||
|
vpc:firewalls:delete |
授予删除网络acl权限。 |
write |
firewall * |
- |
|
|
vpc:vpcs:createtags |
授予创建虚拟私有云资源标签权限。 |
tagging |
vpc * |
vpc:vpctags:create |
|
|
- |
|||||
|
vpc:vpcs:listtags |
授予查询虚拟私有云资源标签权限。 |
list |
vpc * |
- |
vpc:vpctags:get |
|
vpc:vpcs:deletetags |
授予删除虚拟私有云资源标签权限。 |
tagging |
vpc * |
vpc:vpctags:delete |
|
|
- |
|||||
|
vpc:subnets:createtags |
授予创建子网资源标签权限。 |
tagging |
subnet * |
vpc:subnettags:create |
|
|
- |
|||||
|
vpc:subnets:listtags |
授予查询子网资源标签权限。 |
list |
subnet * |
- |
vpc:subnettags:get |
|
vpc:subnets:deletetags |
授予删除子网资源标签权限。 |
tagging |
subnet * |
vpc:subnettags:delete |
|
|
- |
|||||
|
vpc:addressgroups:createtags |
授予创建ip地址组资源标签权限。 |
tagging |
addressgroup * |
vpc:addressgrouptags:create |
|
|
- |
|||||
|
vpc:addressgroups:listtags |
授予查询ip地址组资源标签权限。 |
list |
addressgroup * |
- |
vpc:addressgrouptags:get |
|
vpc:addressgroups:deletetags |
授予删除ip地址组资源标签权限。 |
tagging |
addressgroup * |
vpc:addressgrouptags:delete |
|
|
- |
|||||
|
vpc:securitygroups:createtags |
授予创建安全组资源标签权限。 |
tagging |
securitygroup * |
vpc:securitygrouptags:create |
|
|
- |
|||||
|
vpc:securitygroups:listtags |
授予查询安全组资源标签权限。 |
list |
securitygroup * |
- |
vpc:securitygrouptags:get |
|
vpc:securitygroups:deletetags |
授予删除安全组资源标签权限。 |
tagging |
securitygroup * |
vpc:securitygrouptags:delete |
|
|
- |
|||||
|
vpc:firewalls:createtags |
授予创建网络acl资源标签权限。 |
tagging |
firewall * |
vpc:firewalltags:create |
|
|
- |
|||||
|
vpc:firewalls:listtags |
授予查询网络acl资源标签权限。 |
list |
firewall * |
- |
vpc:firewalltags:get |
|
vpc:firewalls:deletetags |
授予删除网络acl资源标签权限。 |
tagging |
firewall * |
vpc:firewalltags:delete |
|
|
- |
|||||
|
vpc:subnetworkinterfaces:createtags |
授予创建辅助弹性网卡资源标签权限。 |
tagging |
subnetworkinterface * |
vpc:subnetworkinterfacetags:create |
|
|
- |
|||||
|
vpc:subnetworkinterfaces:listtags |
授予查询辅助弹性网卡资源标签权限。 |
list |
subnetworkinterface * |
- |
vpc:subnetworkinterfacetags:get |
|
vpc:subnetworkinterfaces:deletetags |
授予删除辅助弹性网卡资源标签权限。 |
tagging |
subnetworkinterface * |
vpc:subnetworkinterfacetags:delete |
|
|
- |
|||||
|
vpc:ports:createtags |
授予创建端口资源标签权限。 |
tagging |
port * |
vpc:porttags:create |
|
|
- |
|||||
|
vpc:ports:listtags |
授予查询端口资源标签权限。 |
list |
port * |
- |
vpc:porttags:get |
|
vpc:ports:deletetags |
授予删除端口资源标签权限。 |
tagging |
port * |
vpc:porttags:delete |
|
|
- |
|||||
|
vpc:subnetworkinterfaces:create |
授予创建辅助弹性网卡权限。 |
write |
subnetworkinterface * |
- |
- |
|
subnet * |
|||||
|
- |
|||||
|
vpc:subnetworkinterfaces:get |
授予查询辅助弹性网卡详情权限。 |
read |
subnetworkinterface * |
- |
|
|
vpc:subnetworkinterfaces:list |
授予查询辅助弹性网卡列表权限。 |
list |
subnetworkinterface * |
- |
- |
|
- |
|||||
|
vpc:subnetworkinterfaces:update |
授予更新辅助弹性网卡权限。 |
write |
subnetworkinterface * |
- |
|
|
vpc:subnetworkinterfaces:delete |
授予删除辅助弹性网卡权限。 |
write |
subnetworkinterface * |
- |
|
|
vpc:networks:create |
授予创建网络权限。 |
write |
network * |
- |
- |
|
vpc:networks:get |
授予查询网络详情权限。 |
read |
network * |
- |
- |
|
vpc:networks:list |
授予查询网络列表权限。 |
list |
network * |
- |
vpc:networks:get |
|
vpc:networks:update |
授予更新网络权限。 |
write |
network * |
- |
- |
|
vpc:networks:delete |
授予删除网络权限。 |
write |
addressgroup * |
- |
- |
|
vpc:trafficmirrorfilters:create |
授予创建流量镜像筛选条件权限。 |
write |
trafficmirrorfilter * |
- |
- |
|
vpc:trafficmirrorfilters:get |
授予查询流量镜像筛选条件详情权限。 |
read |
trafficmirrorfilter * |
- |
- |
|
vpc:trafficmirrorfilters:list |
授予查询流量镜像筛选条件列表权限。 |
list |
trafficmirrorfilter * |
- |
- |
|
vpc:trafficmirrorfilters:update |
授予更新流量镜像筛选条件权限。 |
write |
trafficmirrorfilter * |
- |
- |
|
vpc:trafficmirrorfilters:delete |
授予删除流量镜像筛选条件权限。 |
write |
trafficmirrorfilter * |
- |
- |
|
vpc:trafficmirrorfilterrules:create |
授予创建流量镜像筛选条件规则权限。 |
write |
trafficmirrorfilter * |
- |
- |
|
trafficmirrorfilterrule * |
- |
||||
|
vpc:trafficmirrorfilterrules:get |
授予查询流量镜像筛选条件规则详情权限。 |
read |
trafficmirrorfilterrule * |
- |
|
|
vpc:trafficmirrorfilterrules:list |
授予查询流量镜像筛选条件规则列表权限。 |
list |
trafficmirrorfilterrule * |
- |
- |
|
vpc:trafficmirrorfilterrules:update |
授予更新流量镜像筛选条件规则权限。 |
write |
trafficmirrorfilterrule * |
- |
|
|
vpc:trafficmirrorfilterrules:delete |
授予删除流量镜像筛选条件规则权限。 |
write |
trafficmirrorfilterrule * |
- |
|
|
vpc:trafficmirrorsessions:create |
授予创建流量镜像会话权限。 |
write |
trafficmirrorsession * |
- |
|
|
trafficmirrorfilter * |
- |
||||
|
vpc:trafficmirrorsessions:get |
授予查询流量镜像会话详情权限。 |
read |
trafficmirrorsession * |
- |
|
|
vpc:trafficmirrorsessions:list |
授予查询流量镜像会话列表权限。 |
list |
trafficmirrorsession * |
- |
- |
|
vpc:trafficmirrorsessions:update |
授予更新流量镜像会话权限。 |
write |
trafficmirrorsession * |
- |
|
|
trafficmirrorfilter |
- |
||||
|
vpc:trafficmirrorsessions:addsource |
授予添加流量镜像会话源资源权限。 |
write |
trafficmirrorsession * |
- |
|
|
vpc:trafficmirrorsessions:removesource |
授予移除流量镜像会话源资源权限。 |
write |
trafficmirrorsession * |
- |
|
|
vpc:trafficmirrorsessions:delete |
授予删除流量镜像会话权限。 |
write |
trafficmirrorsession * |
- |
vpc的api通常对应着一个或多个授权项。表2展示了api与授权项的关系,以及该api需要依赖的授权项。
|
api |
对应的授权项 |
依赖的授权项 |
|---|---|---|
|
post /v1/{project_id}/vpcs |
vpc:vpcs:create |
- |
|
get /v1/{project_id}/vpcs/{vpc_id} |
vpc:vpcs:get |
- |
|
get /v1/{project_id}/vpcs |
vpc:vpcs:list |
- |
|
put /v1/{project_id}/vpcs/{vpc_id} |
vpc:vpcs:update |
- |
|
delete /v1/{project_id}/vpcs/{vpc_id} |
vpc:vpcs:delete |
- |
|
post /v1/{project_id}/subnets |
vpc:subnets:create |
- |
|
get /v1/{project_id}/subnets/{subnet_id} |
vpc:subnets:get |
- |
|
get /v1/{project_id}/subnets |
vpc:subnets:list |
- |
|
put /v1/{project_id}/vpcs/{vpc_id}/subnets/{subnet_id} |
vpc:subnets:update |
- |
|
delete /v1/{project_id}/vpcs/{vpc_id}/subnets/{subnet_id} |
vpc:subnets:delete |
- |
|
get /v1/{project_id}/quotas |
vpc:quotas:list |
- |
|
post /v1/{project_id}/privateips |
vpc:privateips:create |
- |
|
get /v1/{project_id}/privateips/{privateip_id} |
vpc:privateips:get |
- |
|
get /v1/{project_id}/subnets/{subnet_id}/privateips |
vpc:privateips:list |
- |
|
delete /v1/{project_id}/privateips/{privateip_id} |
vpc:privateips:delete |
- |
|
post /v1/{project_id}/security-groups |
vpc:securitygroups:create |
- |
|
get /v1/{project_id}/security-groups/{security_group_id} |
vpc:securitygroups:get |
- |
|
get /v1/{project_id}/security-groups |
vpc:securitygroups:list |
- |
|
delete /v1/{project_id}/security-groups/{security_group_id} |
vpc:securitygroups:delete |
- |
|
post /v1/{project_id}/security-group-rules |
vpc:securitygrouprules:create |
- |
|
post /v3/{project_id}/vpc/security-groups/{security_group_id}/security-group-rules/batch-create |
vpc:securitygrouprules:create |
- |
|
get /v1/{project_id}/security-group-rules/{security_group_rule_id} |
vpc:securitygrouprules:get |
- |
|
get /v1/{project_id}/security-group-rules |
vpc:securitygrouprules:list |
- |
|
delete /v1/{project_id}/security-group-rules/{security_group_rule_id} |
vpc:securitygrouprules:delete |
- |
|
post /v1/{project_id}/ports |
vpc:ports:create |
- |
|
get /v1/{project_id}/ports/{port_id} |
vpc:ports:get |
- |
|
get /v1/{project_id}/ports |
vpc:ports:list |
- |
|
put /v1/{project_id}/ports/{port_id} |
vpc:ports:update |
- |
|
delete /v1/{project_id}/ports/{port_id} |
vpc:ports:delete |
- |
|
post /v2.0/vpc/peerings |
vpc:peerings:create |
- |
|
put /v2.0/vpc/peerings/{peering_id}/accept |
vpc:peerings:accept |
- |
|
put /v2.0/vpc/peerings/{peering_id}/reject |
vpc:peerings:reject |
- |
|
get /v2.0/vpc/peerings/{peering_id} |
vpc:peerings:get |
- |
|
get /v2.0/vpc/peerings |
vpc:peerings:list |
- |
|
put /v2.0/vpc/peerings/{peering_id} |
vpc:peerings:update |
- |
|
delete /v2.0/vpc/peerings/{peering_id} |
vpc:peerings:delete |
- |
|
post /v1/{project_id}/routetables |
vpc:routetables:create |
- |
|
get /v1/{project_id}/routetables/{routetable_id} |
vpc:routetables:get |
- |
|
get /v1/{project_id}/routetables |
vpc:routetables:list |
- |
|
put /v1/{project_id}/routetables/{routetable_id} |
vpc:routetables:update |
- |
|
post /v1/{project_id}/routetables/{routetable_id}/action |
vpc:routetables:associate |
- |
|
post 01 /v1/{project_id}/routetables/{routetable_id}/action |
vpc:routetables:associate |
- |
|
delete /v1/{project_id}/routetables/{routetable_id} |
vpc:routetables:delete |
- |
|
post /v1/{project_id}/fl/flow_logs |
vpc:flowlogs:create |
- |
|
get /v1/{project_id}/fl/flow_logs/{flowlog_id} |
vpc:flowlogs:get |
- |
|
get /v1/{project_id}/fl/flow_logs |
vpc:flowlogs:list |
- |
|
put /v1/{project_id}/fl/flow_logs/{flowlog_id} |
vpc:flowlogs:update |
- |
|
delete /v1/{project_id}/fl/flow_logs/{flowlog_id} |
vpc:flowlogs:delete |
- |
|
put /v3/{project_id}/vpc/vpcs/{vpc_id}/add-extend-cidr |
vpc:vpcs:update |
- |
|
put /v3/{project_id}/vpc/vpcs/{vpc_id}/remove-extend-cidr |
vpc:vpcs:update |
- |
|
put /v3/{project_id}/vpc/security-groups/{security_group_id} |
vpc:securitygroups:update |
- |
|
post /v3/{project_id}/vpc/address-groups |
vpc:addressgroups:create |
- |
|
get /v3/{project_id}/vpc/address-groups/{address_group_id} |
vpc:addressgroups:get |
- |
|
get /v3/{project_id}/vpc/address-groups |
vpc:addressgroups:list |
- |
|
put /v3/{project_id}/vpc/address-groups/{address_group_id} |
vpc:addressgroups:update |
- |
|
delete /v3/{project_id}/vpc/address-groups/{address_group_id} |
vpc:addressgroups:delete |
- |
|
delete /v3/{project_id}/vpc/address-groups/{address_group_id}/force |
vpc:addressgroups:delete |
- |
|
post /v3/{project_id}/vpc/firewalls |
vpc:firewalls:create |
- |
|
put /v3/{project_id}/vpc/firewalls/{firewall_id} |
vpc:firewalls:update |
- |
|
put /v3/{project_id}/vpc/firewalls/{firewall_id}/associate-subnets |
vpc:firewalls:update |
- |
|
put /v3/{project_id}/vpc/firewalls/{firewall_id}/disassociate-subnets |
vpc:firewalls:update |
- |
|
put /v3/{project_id}/vpc/firewalls/{firewall_id}/insert-rules |
vpc:firewalls:update |
- |
|
put /v3/{project_id}/vpc/firewalls/{firewall_id}/remove-rules |
vpc:firewalls:update |
- |
|
put /v3/{project_id}/vpc/firewalls/{firewall_id}/update-rules |
vpc:firewalls:update |
- |
|
delete /v3/{project_id}/vpc/firewalls/{firewall_id} |
vpc:firewalls:delete |
- |
|
get /v3/{project_id}/vpc/firewalls |
vpc:firewalls:list |
- |
|
get /v3/{project_id}/vpc/firewalls/{firewall_id} |
vpc:firewalls:get |
- |
|
post /v2.0/{project_id}/vpcs/{vpc_id}/tags/action |
vpc:vpcs:createtags |
- |
|
post 01 /v2.0/{project_id}/vpcs/{vpc_id}/tags/action |
vpc:vpcs:deletetags |
- |
|
post /v2.0/{project_id}/vpcs/{vpc_id}/tags |
vpc:vpcs:createtags |
- |
|
post /v2.0/{project_id}/vpcs/resource_instances/action |
vpc:vpcs:listtags |
- |
|
get /v2.0/{project_id}/vpcs/tags |
vpc:vpcs:listtags |
- |
|
get /v2.0/{project_id}/vpcs/{vpc_id}/tags |
vpc:vpcs:listtags |
- |
|
delete /v2.0/{project_id}/vpcs/{vpc_id}/tags/{key} |
vpc:vpcs:deletetags |
- |
|
post 01 /v2.0/{project_id}/subnets/{subnet_id}/tags/action |
vpc:subnets:createtags |
- |
|
post /v2.0/{project_id}/subnets/{subnet_id}/tags/action |
vpc:subnets:deletetags |
- |
|
post /v2.0/{project_id}/subnets/{subnet_id}/tags |
vpc:subnets:createtags |
- |
|
post /v2.0/{project_id}/subnets/resource_instances/action |
vpc:subnets:listtags |
- |
|
get /v2.0/{project_id}/subnets/tags |
vpc:subnets:listtags |
- |
|
get /v2.0/{project_id}/subnets/{subnet_id}/tags |
vpc:subnets:listtags |
- |
|
delete /v2.0/{project_id}/subnets/{subnet_id}/tags/{key} |
vpc:subnets:deletetags |
- |
|
post /v3/{project_id}/vpc/sub-network-interfaces |
vpc:subnetworkinterfaces:create |
- |
|
post /v3/{project_id}/vpc/sub-network-interfaces/batch-create |
vpc:subnetworkinterfaces:create |
- |
|
get /v3/{project_id}/vpc/sub-network-interfaces/{sub_network_interface_id} |
vpc:subnetworkinterfaces:get |
- |
|
get /v3/{project_id}/vpc/sub-network-interfaces |
vpc:subnetworkinterfaces:list |
- |
|
get /v3/{project_id}/vpc/sub-network-interfaces/count |
vpc:subnetworkinterfaces:list |
- |
|
put /v3/{project_id}/vpc/sub-network-interfaces/{sub_network_interface_id} |
vpc:subnetworkinterfaces:update |
- |
|
delete /v3/{project_id}/vpc/sub-network-interfaces/{sub_network_interface_id} |
vpc:subnetworkinterfaces:delete |
- |
|
post /v3/{project_id}/firewalls/{firewall_id}/tags/create |
vpc:firewalls:createtags |
- |
|
post /v3/{project_id}/firewalls/{firewall_id}/tags/delete |
vpc:firewalls:deletetags |
- |
|
post /v3/{project_id}/firewalls/{firewall_id}/tags |
vpc:firewalls:createtags |
- |
|
post /v3/{project_id}/firewalls/resource-instances/filter |
vpc:firewalls:listtags |
- |
|
post /v3/{project_id}/firewalls/resource-instances/count |
vpc:firewalls:listtags |
- |
|
get /v3/{project_id}/firewalls/tags |
vpc:firewalls:listtags |
- |
|
get /v3/{project_id}/firewalls/{firewall_id}/tags |
vpc:firewalls:listtags |
- |
|
delete /v3/{project_id}/firewalls/{firewall_id}/tags/{tag_key} |
vpc:firewalls:deletetags |
- |
|
post 01 /v2.0/{project_id}/security-groups/{security_group_id}/tags/action |
vpc:securitygroups:createtags |
- |
|
post /v2.0/{project_id}/security-groups/{security_group_id}/tags/action |
vpc:securitygroups:deletetags |
- |
|
post /v2.0/{project_id}/security-groups/{security_group_id}/tags |
vpc:securitygroups:createtags |
- |
|
post /v2.0/{project_id}/security-groups/resource_instances/action |
vpc:securitygroups:listtags |
- |
|
get /v2.0/{project_id}/security-groups/tags |
vpc:securitygroups:listtags |
- |
|
get /v2.0/{project_id}/security-groups/{security_group_id}/tags |
vpc:securitygroups:listtags |
- |
|
delete /v2.0/{project_id}/security-groups/{security_group_id}/tags/{key} |
vpc:securitygroups:deletetags |
- |
|
post /v3/{project_id}/vpc/traffic-mirror-filters |
vpc:trafficmirrorfilters:create |
- |
|
put /v3/{project_id}/vpc/traffic-mirror-filter/{traffic_mirror_filter_id} |
vpc:trafficmirrorfilters:update |
- |
|
get /v3/{project_id}/vpc/traffic-mirror-filter/{traffic_mirror_filter_id} |
vpc:trafficmirrorfilters:get |
- |
|
get /v3/{project_id}/vpc/traffic-mirror-filters |
vpc:trafficmirrorfilters:list |
- |
|
delete /v3/{project_id}/vpc/traffic-mirror-filter/{traffic_mirror_filter_id} |
vpc:trafficmirrorfilters:delete |
- |
|
post /v3/{project_id}/vpc/traffic-mirror-filter-rules |
vpc:trafficmirrorfilterrules:create |
- |
|
put /v3/{project_id}/vpc/traffic-mirror-filter-rules/{traffic_mirror_filter_rule_id} |
vpc:trafficmirrorfilterrules:update |
- |
|
get /v3/{project_id}/vpc/traffic-mirror-filter-rules/{traffic_mirror_filter_rule_id} |
vpc:trafficmirrorfilterrules:get |
- |
|
get /v3/{project_id}/vpc/traffc-mirror-filter-rules |
vpc:trafficmirrorfilterrules:list |
- |
|
delete /v3/{project_id}/vpc/traffic-mirror-filter-rules/{traffic_mirror_filter_rule_id} |
vpc:trafficmirrorfilterrules:delete |
- |
|
post /v3/{project_id}/vpc/traffic-mirror-sessions |
vpc:trafficmirrorsessions:create |
- |
|
put /v3/{project_id}/vpc/traffic-mirror-sessions/{traffic_mirror_session_id}/add-sources |
vpc:trafficmirrorsessions:addsource |
- |
|
put /v3/{project_id}/vpc/traffic-mirror-sessions/{traffic_mirror_session_id}/remove-sources |
vpc:trafficmirrorsessions:removesource |
- |
|
put /v3/{project_id}/vpc/traffic-mirror-sessions/{traffic_mirror_session_id} |
vpc:trafficmirrorsessions:update |
- |
|
get /v3/{project_id}/vpc/traffic-mirror-sessions/{traffic_mirror_session_id} |
vpc:trafficmirrorsessions:get |
- |
|
get /v3/{project_id}/vpc/traffic-mirror-sessions |
vpc:trafficmirrorsessions:list |
- |
|
delete /v3/{project_id}/vpc/traffic-mirror-sessions/{traffic_mirror_session_id} |
vpc:trafficmirrorsessions:delete |
- |
|
put /v3/{project_id}/ports/{port_id}/insert-security-groups |
vpc:ports:update |
- |
|
put /v3/{project_id}/ports/{port_id}/remove-security-groups |
vpc:ports:update |
- |
资源类型(resource)
资源类型(resource)表示身份策略所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的身份策略语句中指定该资源的urn,身份策略仅作用于此资源;如未指定,resource默认为“*”,则身份策略将应用到所有资源。您也可以在身份策略中设置条件,从而指定资源类型。
vpc定义了以下可以在自定义身份策略的resource元素中使用的资源类型。
|
资源类型 |
urn |
|---|---|
|
network |
vpc: |
|
securitygrouprule |
vpc: |
|
addressgroup |
vpc: |
|
firewall |
vpc: |
|
port |
vpc: |
|
trafficmirrorfilter |
vpc: |
|
securitygroup |
vpc: |
|
routetable |
vpc: |
|
vpc |
vpc: |
|
publicip |
vpc: |
|
flowlog |
vpc: |
|
trafficmirrorfilterrule |
vpc: |
|
bandwidth |
vpc: |
|
trafficmirrorsession |
vpc: |
|
subnetworkinterface |
vpc: |
|
subnet |
vpc: |
|
privateip |
vpc: |
|
peering |
vpc: |
条件(condition)
条件键概述
条件(condition)是身份策略生效的特定条件,包括条件键和运算符。
- 条件键表示身份策略语句的condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
- 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。
- 服务级条件键(前缀通常为服务缩写,如vpc:)仅适用于对应服务的操作,详情请参见表4。
- 单值/多值表示api调用时请求中与条件关联的值数。单值条件键在api调用时的请求中最多包含一个值,多值条件键在api调用时请求可以包含多个值。例如:g:sourcevpce是单值条件键,表示仅允许通过某个vpc终端节点发起请求访问某资源,一个请求最多包含一个vpc终端节点id值。g:tagkeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用api请求时传入标签可以传入多个值。
- 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,身份策略才能生效。支持的运算符请参见:运算符。
vpc支持的服务级条件键
vpc定义了以下可以在自定义身份策略的condition元素中使用的条件键,您可以使用这些条件键进一步细化身份策略语句应用的条件。
|
服务级条件键 |
类型 |
单值/多值 |
说明 |
|---|---|---|---|
|
vpc:vpcid |
string |
多值 |
根据指定的虚拟私有云资源id过滤访问。 |
|
vpc:vpcblockserviceendpointstates |
string |
单值 |
根据指定的虚拟私有云资源阻止服务终结点状态过滤访问,有效的条件值应为"on"、"off"。 |
|
vpc:subnetid |
string |
多值 |
根据指定的子网资源id过滤访问。 |
|
vpc:securitygroupid |
string |
多值 |
根据指定的安全组资源id过滤访问。 |
|
vpc:peeringid |
string |
多值 |
根据指定的对等连接资源id过滤访问。 |
|
vpc:acceptervpcid |
string |
多值 |
根据指定的接收方vpc资源id过滤访问。 |
|
vpc:acceptervpcorgpath |
string |
多值 |
根据指定的对等连接接收方vpc资源所有者的orgpath过滤访问。 |
|
vpc:acceptervpcowner |
string |
多值 |
根据指定的对等连接接收方vpc资源所有者的账号id过滤访问。 |
|
vpc:requestervpcorgpath |
string |
多值 |
根据指定的对等连接请求方vpc资源所有者的orgpath过滤访问。 |
|
vpc:requestervpcowner |
string |
多值 |
根据指定的对等连接请求方vpc资源所有者的账号id过滤访问。 |
|
vpc:requestervpcid |
string |
多值 |
根据指定的请求方vpc资源id过滤访问。 |
|
vpc:routetableid |
string |
多值 |
根据指定的路由表资源id过滤访问。 |
|
vpc:flowlogid |
string |
多值 |
根据指定的流日志资源id过滤访问。 |
|
vpc:addressgroupid |
string |
多值 |
根据指定的ip地址组资源id过滤访问。 |
|
vpc:firewallid |
string |
多值 |
根据指定的网络acl资源id过滤访问。 |
|
vpc:privateipid |
string |
多值 |
根据指定的私有ip资源id过滤访问。 |
|
vpc:portid |
string |
多值 |
根据指定的端口资源id过滤访问。 |
|
vpc:subnetworkinterfaceid |
string |
多值 |
根据指定的辅助弹性网卡资源id过滤访问。 |
|
vpc:firewallruledirection |
string |
多值 |
根据指定的网络acl规则方向过滤访问,有效的条件值应为ingress、egress。 |
|
vpc:firewallruleprotocol |
string |
多值 |
根据指定的网络acl规则协议过滤访问,有效的条件值应为tcp、udp、icmp、icmpv6、any。 |
|
vpc:firewallruleaction |
string |
多值 |
根据指定的网络acl规则策略过滤访问,有效的条件值应为allow、deny。 |
|
vpc:firewallrulesourceport |
numeric |
多值 |
根据指定的网络acl规则源端口过滤访问。 |
|
vpc:firewallruledestinationport |
numeric |
多值 |
根据指定的网络acl规则目的端口过滤访问。 |
|
vpc:firewalloperationtype |
string |
多值 |
根据指定的网络acl操作类型过滤访问,有效的条件值应为updateacl、associatesubnet、disassociatesubnet、insertrule、updaterule、removerule。 |
|
vpc:trafficmirrorfilterid |
string |
多值 |
根据指定的流量镜像筛选条件id过滤访问。 |
|
vpc:trafficmirrortargettype |
string |
多值 |
根据指定的流量镜像会话目的资源类型过滤访问,有效的条件值应为eni、elb。 |
|
vpc:trafficmirrortargetid |
string |
多值 |
根据指定的流量镜像会话目的资源id过滤访问。 |
|
vpc:trafficmirrorsourcetype |
string |
多值 |
根据指定的流量镜像会话源资源类型过滤访问,有效的条件值应为eni。 |
|
vpc:trafficmirrorsourceid |
string |
多值 |
根据指定的流量镜像会话源资源id过滤访问。 |
|
vpc:firewallrulesourceip |
ip_address |
单值 |
根据指定的网络acl规则中源地址过滤访问。 |
|
vpc:firewallrulesourceipaddressgroup |
string |
单值 |
根据指定的网络acl规则中源地址使用的ip地址组唯一标识id过滤访问。 |
|
vpc:firewallruledestinationip |
ip_address |
单值 |
根据指定的网络acl规则中目的地址过滤访问。 |
|
vpc:firewallruledestinationipaddressgroup |
string |
单值 |
根据指定的网络acl规则中目的地址使用的ip地址组唯一标识id过滤访问。 |
|
vpc:availabilityzone |
string |
单值 |
根据指定的可用区唯一标识id过滤访问。 |
|
vpc:legacyapiflavor |
string |
单值 |
根据指定的原生api接口过滤访问。 |
|
vpc:securitygroupruledirection |
string |
单值 |
根据指定的安全组规则方向过滤访问,有效的条件值应为ingress、egress。 |
|
vpc:securitygroupruleprotocol |
string |
单值 |
根据指定的安全组规则协议过滤访问,有效的条件值应为tcp、udp、icmp、icmpv6、gre、any。 |
|
vpc:securitygroupruleaction |
string |
单值 |
根据指定的安全组规则生效策略过滤访问,有效的条件值应为allow、deny。 |
|
vpc:securitygroupruleport |
numeric |
多值 |
根据指定的安全组规则端口过滤访问。 |
|
vpc:securitygroupruleremoteipaddressgroup |
string |
单值 |
根据指定的安全组规则中远端地址组使用的ip地址组唯一标识id过滤访问。 |
|
vpc:securitygroupruleremotesecuritygroup |
string |
单值 |
根据指定的安全组规则中远端安全组使用的安全组唯一标识id过滤访问。 |
|
vpc:securitygroupruleremoteipprefix |
ip_address |
单值 |
根据指定的安全组规则中远端ip使用的ip地址过滤访问。 |
|
vpc:virsubnetcidrreservationid |
string |
多值 |
根据指定的子网预留网段资源id过滤访问。 |
|
vpc:subnetipv6enable |
boolean |
单值 |
根据指定的子网ipv6启用状态过滤访问。 |
相关文档
意见反馈
文档内容是否对您有帮助?
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
