为 Amazon Cloud Map 使用基于身份的策略(IAM 策略) - Amazon Cloud Map
使用 Amazon Cloud Map 控制台所需要的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Amazon Cloud Map 使用基于身份的策略(IAM 策略)

本主题提供了基于身份的策略的示例,这些示例展示了账户管理员如何将权限策略附加到 IAM 身份(即用户、组和角色),从而授予对 Amazon Cloud Map 资源执行操作的权限。

重要

我们建议您首先阅读一下介绍性主题,这些主题说明了管理对 Amazon Cloud Map 资源的访问的基本概念和选项。有关更多信息,请参阅管理 Amazon Cloud Map 资源的访问权限概述

以下示例显示了一个权限策略,该策略向用户授予注册和取消注册服务实例的权限。Sid 或语句 ID 是可选的:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

该策略授予注册和管理服务实例所需的操作的权限。如果您使用公有或私有 DNS 命名空间,则 Route 53 权限是必需的,因为 Amazon Cloud Map 会在您注册和取消注册实例时创建、更新和删除 Route 53 记录和运行状况检查。Resource 中的通配符 (*) 授予对当前 Amazon 账户所拥有的所有 Amazon Cloud Map 实例及 Route 53 记录和运行状况检查的访问权限。

有关您为授予或拒绝使用每项操作的权限而指定的操作和 ARN 的列表,请参阅Amazon Cloud Map API 权限:操作、资源和条件参考

使用 Amazon Cloud Map 控制台所需要的权限

要授予对 Amazon Cloud Map 控制台的完全访问权,您可以在以下权限策略中授予权限:

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

下面是需要权限的原因:

servicediscovery:*

可让您执行所有 Amazon Cloud Map 操作。

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

让 Amazon Cloud Map 在您创建和删除公有和私有 DNS 命名空间时管理托管区域。

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

让 Amazon Cloud Map 在您创建服务时包含 Amazon Route 53 运行状况检查的情况下管理运行状况检查。

ec2:DescribeVpcsec2:DescribeRegions

让 Amazon Cloud Map 管理私有托管区域。