使用基于身份的策略(IAM 策略) Amazon Cloud Map - Amazon Cloud Map
使用 Amazon Cloud Map 控制台所需要的权限
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用基于身份的策略(IAM 策略) Amazon Cloud Map

本主题提供了基于身份的策略示例,这些示例演示了账户管理员如何将权限策略附加到 IAM 身份(用户、群组和角色),从而授予对资源执行操作的权限。 Amazon Cloud Map

重要

我们建议您先阅读介绍性主题,这些主题解释了管理 Amazon Cloud Map 资源访问权限的基本概念和选项。有关更多信息,请参阅 管理 Amazon Cloud Map 资源的访问权限概述

以下示例显示了一个权限策略,该策略向用户授予注册和取消注册服务实例的权限。Sid 或语句 ID 是可选的:

{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid" : "AllowInstancePermissions",
         "Effect": "Allow",
         "Action": [
            "servicediscovery:RegisterInstance",
            "servicediscovery:DeregisterInstance",
            "servicediscovery:DiscoverInstances",
            "servicediscovery:Get*",
            "servicediscovery:List*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances"
         ],
         "Resource": "*"
      }
   ]
}

该策略授予注册和管理服务实例所需的操作的权限。如果您使用的是公共或私有 DNS 命名空间,则需要 Route 53 权限,因为在注册和取消注册实例时,会 Amazon Cloud Map 创建、更新和删除 Route 53 记录和运行状况检查。中的通配符 (*) Resource 允许访问当前 Amazon 账户拥有的所有 Amazon Cloud Map 实例、Route 53 记录和运行状况检查。

有关您为授予或拒绝使用每项操作的权限而指定的操作和 ARN 的列表,请参阅Amazon Cloud Map API 权限:操作、资源和条件参考

使用 Amazon Cloud Map 控制台所需要的权限

要授予对 Amazon Cloud Map 控制台的完全访问权限,您需要在以下权限策略中授予权限:

{
   "Version": "2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "servicediscovery:*",
            "route53:GetHostedZone",
            "route53:ListHostedZonesByName",
            "route53:CreateHostedZone",
            "route53:DeleteHostedZone",
            "route53:ChangeResourceRecordSets",
            "route53:CreateHealthCheck",
            "route53:GetHealthCheck",
            "route53:DeleteHealthCheck",
            "route53:UpdateHealthCheck",
            "ec2:DescribeInstances",
            "ec2:DescribeVpcs",
            "ec2:DescribeRegions"
         ],
         "Resource":"*"
      }
   ]
}

下面是需要权限的原因:

servicediscovery:*

允许您执行所有 Amazon Cloud Map 操作。

route53:CreateHostedZone, route53:GetHostedZone, route53:ListHostedZonesByName, route53:DeleteHostedZone

当你创建和删除公有和私有 DNS 命名空间时,让我们来 Amazon Cloud Map 管理托管区域。

route53:CreateHealthCheck, route53:GetHealthCheck, route53:DeleteHealthCheck, route53:UpdateHealthCheck

当您在创建服务时包含 Amazon Route 53 运行状况检查时,让我们来 Amazon Cloud Map 管理运行状况检查。

ec2:DescribeVpcsec2:DescribeRegions

让我们来 Amazon Cloud Map 管理私有托管区域。