本文档介绍如何为您的子账号授予在子账号创建资源时,强制给资源绑定固定标签键值的权限策略。
说明:
强制绑定标签:是指用户可以通过 CAM 权限策略配置,指定子用户或角色在创建资源的时候,必须绑定权限策略里面指定的标签键值对才能创建,不绑定标签或者绑定其他标签都会创建失败。
操作场景:
若您希望您的子账号(Operator )在购买云服务器(CVM)资源时,只能绑定某个标签键值的权限。
假设存在以下条件:
企业账号 CompanyExample 下有个子账号 Operator 。
企业账号 CompanyExample 下有个为(App&Dev)的标签键值。
企业账号 CompanyExample 希望给子账号 Operator 授予只能绑定(App&Dev)标签键值的权限。
操作步骤
1. 使用企业账号 CompanyExample 登录 访问管理控制台。
2. 在策略页面,单击新建自定义策略 > 按策略语法创建。
3. 在选择模板类型界面选择空白模板,单击下一步,进入编辑策略页面。
4. 在编辑策略页面,填写下列内容:
策略名称:默认为 policygen-当前日期,推荐您自行定义一个不重复且有意义的策略名称,例如 Operator-request_tag。
描述:可选,自行编写。
策略内容:复制以下内容并填写。
{"version": "2.0","statement": [{"effect": "allow","action": "cvm:*","resource": "*","condition": {"for_any_value:string_equal": {"qcs:request_tag": ["App&Dev"]}}},{"effect": "allow","action": "cvm:*","resource": "*","condition": {"for_any_value:string_equal": {"qcs:resource_tag": ["App&Dev"]}}},{"effect": "allow","action": ["cvm:CreateSecurityGroup","tag:*","vpc:*"],"resource": "*"}]}
说明:
通过 qcs:resource_tag 控制:可以访问所有绑定标签(App&Dev) 的资源。
通过 qcs:request_tag 控制:在创建资源的时候必须绑定标签(App&Dev)才能成功。
其他不支持资源级授权的接口需要在最后一个
effect
里面附加授予,本策略增加了 cvm:CreateSecurityGroup 和 tag、vpc 权限,可按需添加。5. 单击完成,完成策略的创建。新建的策略将显示在策略列表页。
6. 在策略列表中搜索找到刚才已创建的策略,单击右侧操作列的关联用户/组/角色。
7. 在弹出的关联用户/用户组/角色窗口中,搜索勾选子账号 Operator,单击确定完成授权操作。 子账号 Operator 将拥有只能绑定(项目名称&Dev)标签键值的权限。
8. 登录子账号 Operator ,在不设置标签和不设置对应标签(App&Dev)的情况下,尝试购买服务器。
不设置标签情况下,购买失败。
不设置对应标签(App&Dev)情况下,购买失败。
在设置对应标签(App&Dev)情况下,购买成功。