本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用基于身份的策略(IAM 策略) Amazon Cloud Map
本主题提供了基于身份的策略示例,这些示例演示了账户管理员如何将权限策略附加到 IAM 身份(用户、群组和角色),从而授予对资源执行操作的权限。 Amazon Cloud Map
重要
我们建议您先阅读介绍性主题,这些主题解释了管理 Amazon Cloud Map 资源访问权限的基本概念和选项。有关更多信息,请参阅 管理 Amazon Cloud Map 资源的访问权限概述。
以下示例显示了一个权限策略,该策略向用户授予注册和取消注册服务实例的权限。Sid
或语句 ID 是可选的:
{ "Version": "2012-10-17", "Statement": [ { "Sid" : "AllowInstancePermissions", "Effect": "Allow", "Action": [ "servicediscovery:RegisterInstance", "servicediscovery:DeregisterInstance", "servicediscovery:DiscoverInstances", "servicediscovery:Get*", "servicediscovery:List*", "route53:GetHostedZone", "route53:ListHostedZonesByName", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:GetHealthCheck", "route53:DeleteHealthCheck", "route53:UpdateHealthCheck", "ec2:DescribeInstances" ], "Resource": "*" } ] }
该策略授予注册和管理服务实例所需的操作的权限。如果您使用的是公共或私有 DNS 命名空间,则需要 Route 53 权限,因为在注册和取消注册实例时,会 Amazon Cloud Map 创建、更新和删除 Route 53 记录和运行状况检查。中的通配符 (*) Resource
允许访问当前 Amazon 账户拥有的所有 Amazon Cloud Map 实例、Route 53 记录和运行状况检查。
有关您为授予或拒绝使用每项操作的权限而指定的操作和 ARN 的列表,请参阅Amazon Cloud Map API 权限:操作、资源和条件参考。
使用 Amazon Cloud Map 控制台所需要的权限
要授予对 Amazon Cloud Map 控制台的完全访问权限,您需要在以下权限策略中授予权限:
{ "Version": "2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicediscovery:*", "route53:GetHostedZone", "route53:ListHostedZonesByName", "route53:CreateHostedZone", "route53:DeleteHostedZone", "route53:ChangeResourceRecordSets", "route53:CreateHealthCheck", "route53:GetHealthCheck", "route53:DeleteHealthCheck", "route53:UpdateHealthCheck", "ec2:DescribeInstances", "ec2:DescribeVpcs", "ec2:DescribeRegions" ], "Resource":"*" } ] }
下面是需要权限的原因:
servicediscovery:*
-
允许您执行所有 Amazon Cloud Map 操作。
route53:CreateHostedZone
,route53:GetHostedZone
,route53:ListHostedZonesByName
,route53:DeleteHostedZone
-
当你创建和删除公有和私有 DNS 命名空间时,让我们来 Amazon Cloud Map 管理托管区域。
route53:CreateHealthCheck
,route53:GetHealthCheck
,route53:DeleteHealthCheck
,route53:UpdateHealthCheck
-
当您在创建服务时包含 Amazon Route 53 运行状况检查时,让我们来 Amazon Cloud Map 管理运行状况检查。
ec2:DescribeVpcs
和ec2:DescribeRegions
-
让我们来 Amazon Cloud Map 管理私有托管区域。