CAM 정책:
{
"version":"2.0",
"statement":
[
{
"effect":"effect",
"action":["action"],
"resource":["resource"],
"condition": {"key":{"value"}}
}
]
}
CDB 정책 명령어에서 CDB를 지원하는 특정 서비스로부터 임의의 API 작업을 지정할 수 있습니다. CDB의 경우 cdb:는 접두사 API입니다. 예시로 cdb:CreateDBInstance 또는 cdb:CreateAccounts가 있습니다.
만약 단일 명령어에 여러 개의 작업을 지정하고 싶을 경우, 다음과 같이 쉼표를 사용하여 작업을 분리하십시오.
"action":["cdb:action1","cdb:action2"]
와일드카드를 사용해서도 여러 항목의 작업을 지정할 수 있습니다. 예를 들어, 다음과 같이 표시해 명칭이 단어 “Describe”로 시작하는 모든 작업을 지정할 수 있습니다.
"action":["cdb:Describe*"]
만약 CDB의 모든 작업을 지정할 경우, 다음과 같이 * 와일드카드를 사용하십시오.
"action":["cdb:*"]
각각의 CAM 정책 명령어는 모두 자신에게 적용되는 리소스가 있습니다.
리소스의 일반 형식은 아래와 같습니다.
qcs:project_id:service_type:region:account:resource
예를 들어, 명령 중인 특정 인스턴스(cdb-k05xdcta)를 사용하여 아래와 같이 리소스를 지정할 수 있습니다.
"resource":[ "qcs::cdb:ap-guangzhou:uin/65xxx763:instanceId/cdb-k05xdcta"]
"resource":[ "qcs::cdb:ap-guangzhou:uin/65xxx763:instanceId/*"]
모든 리소스를 지정해야 하거나 특정 API 작업이 리소스 권한을 지원하지 않을 경우, 아래와 같이 resource 요소에서 * 와일드카드를 사용하십시오.
"resource": ["*"]
단일 명령어에 동시에 여러 리소스를 지정하고 싶을 경우, 쉼표를 이용해 분리하십시오. 다음은 두 개의 리소스를 지정한 예시를 보여 줍니다.
"resource":["resource1","resource2"]
아래의 표에서는 CDB가 사용할 수 있는 리소스와 대응하는 리소스의 설명 방법이 나타나 있습니다. 이 중 $가 접두사인 단어는 모두 별명이며 region은 리전, account는 계정 ID입니다.
리소스 | 권한 부여 정책 중 리소스 기술 방법 |
---|---|
인스턴스 | qcs::cdb:$region:$account:instanceId/$instanceId |
VPC | qcs::vpc:$region:$account:vpc/$vpcId |
보안 그룹 | qcs::cvm:$region:$account:sg/$sgId |
문제 해결에 도움이 되었나요?