文档中心>访问管理>实践教程>创建资源时强制绑定固定标签键值

创建资源时强制绑定固定标签键值

最近更新时间:2024-03-28 11:21:41

我的收藏
本文档介绍如何为您的子账号授予在子账号创建资源时,强制给资源绑定固定标签键值的权限策略。
说明:
强制绑定标签:是指用户可以通过 CAM 权限策略配置,指定子用户或角色在创建资源的时候,必须绑定权限策略里面指定的标签键值对才能创建,不绑定标签或者绑定其他标签都会创建失败。

操作场景:

若您希望您的子账号(Operator )在购买云服务器(CVM)资源时,只能绑定某个标签键值的权限。
假设存在以下条件:
企业账号 CompanyExample 下有个子账号 Operator 。
企业账号 CompanyExample 下有个为(App&Dev)的标签键值。
企业账号 CompanyExample 希望给子账号 Operator 授予只能绑定(App&Dev)标签键值的权限。

操作步骤

1. 使用企业账号 CompanyExample 登录 访问管理控制台
2. 策略页面,单击新建自定义策略 > 按策略语法创建
3. 选择模板类型界面选择空白模板,单击下一步,进入编辑策略页面。



4. 编辑策略页面,填写下列内容:
策略名称:默认为 policygen-当前日期,推荐您自行定义一个不重复且有意义的策略名称,例如 Operator-request_tag。
描述:可选,自行编写。
策略内容:复制以下内容并填写。
{
"version": "2.0",
"statement": [
{
"effect": "allow",
"action": "cvm:*",
"resource": "*",
"condition": {
"for_any_value:string_equal": {
"qcs:request_tag": [
"App&Dev"
]
}
}
},
{
"effect": "allow",
"action": "cvm:*",
"resource": "*",
"condition": {
"for_any_value:string_equal": {
"qcs:resource_tag": [
"App&Dev"
]
}
}
},
{
"effect": "allow",
"action": [
"cvm:CreateSecurityGroup",
"tag:*",
"vpc:*"
],
"resource": "*"
}
]
}
说明:
通过 qcs:resource_tag 控制:可以访问所有绑定标签(App&Dev) 的资源。
通过 qcs:request_tag 控制:在创建资源的时候必须绑定标签(App&Dev)才能成功。
其他不支持资源级授权的接口需要在最后一个 effect 里面附加授予,本策略增加了 cvm:CreateSecurityGroup 和 tag、vpc 权限,可按需添加。
5. 单击完成,完成策略的创建。新建的策略将显示在策略列表页。
6. 在策略列表中搜索找到刚才已创建的策略,单击右侧操作列的关联用户/组/角色



7. 在弹出的关联用户/用户组/角色窗口中,搜索勾选子账号 Operator,单击确定完成授权操作。 子账号 Operator 将拥有只能绑定(项目名称&Dev)标签键值的权限。



8. 登录子账号 Operator ,在不设置标签和不设置对应标签(App&Dev)的情况下,尝试购买服务器。
不设置标签情况下,购买失败。






不设置对应标签(App&Dev)情况下,购买失败。






在设置对应标签(App&Dev)情况下,购买成功。