操作场景
您可以通过使用访问管理(Cloud Access Management,CAM)策略让用户拥有在存储网关(Cloud Storage Gateway,CSG)控制台中查看和使用特定资源的权限。本文档提供了查看和使用特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。
操作示例
CSG 的全读写策略
如果您希望用户拥有创建和管理 CSG 实例的权限,您可以对该用户使用名称为:QcloudCSGFullAccess 的策略。该策略仅能让用户获取操作 CSG 下所有资源的权限,您还需要授予对象存储 COS 以及私有网络 VPC 的相关权限才能让用户正常创建 CSG 实例及文件系统,具体权限可参考 可授权的 API 操作及资源类型。
具体操作步骤如下:
参考 授权管理,将预设策略 QcloudCSGFullAccess 授权给用户。
注意
CSG 的预设策略均不包含 COS 及 VPC 相关操作权限,请参考本文档额外进行授予。
CSG 的只读策略
如果您希望用户拥有查询 CSG 实例的权限,但是不具有创建、删除、启动和停止的权限,您可以对该用户使用名称为:QcloudCSGReadOnlyAccess 的策略。该策略是通过授予用户对操作 CSG 中所有以单词 “Describe” 开头的操作和所有以单词 “List” 开头的操作权限来达到目的。具体操作步骤如下:
参考 授权管理,将预设策略 QcloudCSGReadOnlyAccess 授权给用户。
授权用户拥有特定 CSG 操作权限策略
如果您希望授权用户拥有特定 CSG 操作权限,可将以下策略关联到该用户。
该策略允许用户拥有所有对 ID 为 csg-1,地域为广州的 CSG 实例的操作权限,策略内容可参考以下策略语法进行设置,更多介绍请参见 通过策略语法创建自定义策略。
{"version": "2.0","statement": [{"action": ["name/csg:*"],"resource": ["qcs::csg:ap-guangzhou::gateway/csg-1"],"effect": "allow"}]}
授权用户拥有特定地域 CSG 的操作权限策略
如果您希望授权用户拥有特定地域 CSG 的操作权限,可将以下策略关联到该用户。
该策略允许用户拥有对广州地域的 CSG 实例的所有操作权限,策略内容可参考以下策略语法进行设置,更多介绍请参见 通过策略语法创建自定义策略。
{"version": "2.0","statement": [{"action": ["name/csg:*"],"resource": ["qcs::csg:ap-guangzhou::*"],"effect": "allow"}]}
授权用户拥有特定 CSG 下文件系统的操作权限策略
如果您希望授权用户拥有特定 CSG 下文件系统的操作权限,可将以下策略关联到该用户。
该策略允许用户拥有对 ID 为 csg-1 的 CSG 实例下 ID 为 nfs-1 的文件系统所有操作权限,策略内容可参考以下策略语法进行设置,更多介绍请参见 通过策略语法创建自定义策略。
{"version": "2.0","statement": [{"action": ["name/csg:*"],"resource": ["qcs::csg:ap-guangzhou::gateway/csg-1/fileshare/nfs-1"],"effect": "allow"}]}
授权用户创建 CSG 实例及文件系统所需的 COS 和 VPC 相关权限
在创建 CSG 实例和文件系统及查看对应存储桶生命周期时,需要额外授予用户使用 COS 及 VPC 的相关权限。
该策略允许用户拥有创建 CSG 实例和文件系统的权限以及全部 CSG 控制台的操作权限,策略内容可参考以下策略语法进行设置,更多介绍请参见 通过策略语法创建自定义策略。
注意
您在 CAM 配置策略时,VPC 相关接口应为 DescribeVpcEx 和 DescribeSubnetEx。
{"version": "2.0","statement": [{"action": ["csg:*","name/vpc:DescribeVpcEx","name/vpc:DescribeSubnetEx","name/cos:GetService","name/cos:GetBucketLifecycle"],"resource": ["*"],"effect": "allow"}]}
