使用基于身份的策略(IAM 策略) Amazon Cloud Map - Amazon Cloud Map
使用 Amazon Cloud Map 控制台所需的权限创建 Amazon Cloud Map 服务所需的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用基于身份的策略(IAM 策略) Amazon Cloud Map

本主题提供了基于身份的策略示例,这些示例演示了账户管理员如何将权限策略附加到 IAM 身份(用户、群组和角色),从而授予对资源执行操作的权限。 Amazon Cloud Map

重要

我们建议您先阅读介绍性主题,这些主题解释了管理 Amazon Cloud Map 资源访问权限的基本概念和选项。有关更多信息,请参阅 管理对 Amazon Cloud Map 资源的访问权限

以下示例显示了一个权限策略,该策略向用户授予注册和取消注册服务实例的权限。Sid 或语句 ID 是可选的:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

该策略授予注册和管理服务实例所需的操作的权限。如果您使用的是公共或私有 DNS 命名空间,则需要 Route 53 权限,因为在注册和取消注册实例时,会 Amazon Cloud Map 创建、更新和删除 Route 53 记录和运行状况检查。中的通配符 (*) Resource 允许访问当前 Amazon 账户拥有的所有 Amazon Cloud Map 实例、Route 53 记录和运行状况检查。

有关您为授予或拒绝使用每项操作的权限而指定的操作和 ARN 的列表,请参阅Amazon Cloud Map API 权限参考

使用 Amazon Cloud Map 控制台所需的权限

要授予对 Amazon Cloud Map 控制台的完全访问权限,您需要在以下权限策略中授予权限:

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

下面是需要权限的原因:

servicediscovery:*

允许您执行所有 Amazon Cloud Map 操作。

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

当你创建和删除公有和私有 DNS 命名空间时,让我们来 Amazon Cloud Map 管理托管区域。

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

当您在创建服务时包含 Amazon Route 53 运行状况检查时,让我们来 Amazon Cloud Map 管理运行状况检查。

ec2:DescribeVpcsec2:DescribeRegions

让我们来 Amazon Cloud Map 管理私有托管区域。

创建 Amazon Cloud Map 服务所需的权限

在添加允许 IAM 身份创建 Amazon Cloud Map 服务的权限策略时,您必须在资源字段中指定 Amazon Cloud Map 命名空间和服务的 Amazon 资源名称 (ARN)。ARN 包括区域、账户 ID 和命名空间 ID。由于您还不知道服务的服务 ID 是什么,因此我们建议使用通配符。以下是策略片段示例。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:CreateService"
         ],
         "Resource":[
            "arn:aws:servicediscovery:region:111122223333:namespace/ns-p32123EXAMPLE",
            "arn:aws:servicediscovery:region:111122223333:service/*"
         ]
      }
   ]
}