tencent cloud

访问管理

产品简介
CAM 概述
产品功能
应用场景
基本概念
使用限制
用户类型
购买指南
快速入门
创建管理员用户
创建子账号并授权
子账号登录控制台
用户指南
概览
用户
访问密钥
用户组
角色
身份提供商
策略
权限边界
排除故障
下载安全分析报告
支持角色的业务
概览
计算
容器
微服务
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
数据库 SaaS 服务
网络
CDN与加速
网络安全
数据安全
应用安全
域名与网站
大数据
中间件
互动视频服务
实时互动
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
支持CAM的业务接口
概览
计算
边缘计算
容器
分布式云
微服务
Serverless
基础存储服务
数据处理与分析
数据迁移
关系型数据库
企业级分布式数据库
NoSQL 数据库
数据库 SaaS 工具
网络
CDN与加速
网络安全
终端安全
数据安全
业务安全
应用安全
域名与网站
办公协同
大数据
语音技术
图像创作
腾讯大模型
人工智能平台服务
自然语言处理
文字识别
中间件
通信服务
互动视频服务
实时互动
流媒体服务
媒体点播
媒体处理服务
媒体处理
实时云渲染
游戏服务
教育服务
医疗服务
云资源管理
管理与审计
开发者工具
监控与运维
其他文档
实践教程
安全实践教程
多身份人员权限管理
授予标签下部分操作权限
支持员工间资源隔离访问
企业多账号权限管理
查看员工腾讯云操作记录
使用 ABAC 管理员工资源访问权限
按标签鉴权时支持仅匹配标签键
商用案例
MySQL 相关案例
CLB 相关案例
CMQ 相关案例
COS 相关案例
CVM 相关案例
VPC 相关案例
云点播相关案例
其他案例
API 文档
History
Introduction
API Category
Making API Requests
User APIs
Policy APIs
Role APIs
Identity Provider APIs
Data Types
Error Codes
常见问题
角色相关问题
密钥相关问题
其他问题
CAM 用户与权限问题
词汇表
文档访问管理用户指南策略语法逻辑生效条件应用场景

应用场景

PDF
聚焦模式
字号
最后更新时间: 2024-01-23 17:54:33
场景类型
场景说明
示例
条件运算符包含一个条件键的一个条件值
允许 VPC 绑定指定的对等连接,VPC 的地域需要指定
示例
只能对绑定标签的云服务器实例进行重启
示例
条件运算符包含一个条件键的多个条件值
允许指定两个 IP 的用户访问
示例
具有多个条件运算符的场景
允许指定 IP 和指定日期的用户访问
示例
单个条件运算符包含多个条件键
将多个条件键附加到单个条件运算符则
示例
布尔值条件运算符的应用
子用户需绑定 token 后才可删除 API 密钥
示例

条件运算符包含一个条件键的一个条件值

场景说明1

当 CAM 用户在调用 VPC 对等连接 API 时,除了需要判断 CAM 用户是否拥有对等连接 API 和对等连接资源的访问权限外,还需要确认 CAM 用户是否拥有对等连接关联的 VPC 的访问权限。

使用示例1

以下示例描述允许 VPC 绑定指定的对等连接, VPC 的地域必须是上海。
{
    "version": "2.0",
    "statement": [
    {
        "effect": "allow",
        "action": "name/vpc:AcceptVpcPeeringConnection",
        "resource": "qcs::vpc:sh::pcx/2341",
        "condition": {
            "string_equal_if_exist": {
                "vpc:region": "sh"
            }
        }
    }
   ]
}

场景说明2

当 CAM 用户访问腾讯云资源时,需要限制用户仅可访问绑定指定标签的资源。

使用示例2

以下示例描述用户只能对绑定标签“部门&研发部”的云服务器实例进行重启(cvm:RebootInstances)。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cvm:RebootInstances"
            ],
            "resource": "*",
            "condition": {
                "for_any_value:string_equal": {
                    "qcs:resource_tag": [
                        "Department&Research and Development"
                    ]
                }
            }
        }
    ]
}

条件运算符包含一个条件键的多个条件值

场景说明

单个条件运算符包含一个条件键的多个条件值,则采用逻辑 OR 评估该条件运算符,多个条件值时需要使用集合运算符号表示。
CAM 用户调用云 API 时,需要限制用户访问来源,则要求在现有的策略基础上加上 IP 条件。

使用示例

以下示例描述用户必须在 10.217.182.3/24 或者 111.21.33.72/24 网段才能上传对象(cos:PutObject)。
{
    "version": "2.0",
    "statement":[
    {
        "effect": "allow",
        "action": "cos:PutObject",
        "resource": "*",
        "condition": {
            "ip_equal": {
                "qcs:ip": [
                    "10.217.182.3/24",
                    "111.21.33.72/24"
                ]
            }
        }
    }
  ]  
}

具有多个条件运算符的场景

场景说明

如果您的策略具有多个条件运算符,则使用逻辑 AND 评估条件。

使用示例

以下示例描述用户必须请求 IP 为 192.168.1.1,请求日期小于2022-05-31 00:00:00才可以匹配。
"condition":{
                "ip_equal": {
                    "qcs:ip": "192.168.1.1"
                },
                "date_less_than": {
                    "qcs:current_time": "2022-05-31 00:00:00"
                }
            }

单个条件运算符包含多个条件键

场景说明

如果您的策略具有多个条件运算符或将多个条件键附加到单个条件运算符则使用逻辑 AND 评估条件。

使用示例

以下示例描述资源标签为"部门&研发部",且请求标签为"部门&研发部"才可以匹配。
"condition": {
                "string_equal": {
                    "qcs:resource_tag": [
                        "Department&Research and Development"
                    ],
                    "qcs:request_tag": [
                        "Department&Research and Development"
                    ]
                }
            }

布尔值条件运算符的应用

场景说明

子用户需绑定 token 后才可删除 API 密钥。

使用示例

以下示例描述,授权此条策略的子用户,需要绑定 token 后,才可删除 API 密钥。
{
    "version": "2.0",
    "statement": [
        {
            "effect": "allow",
            "action": [
                "cam:DeleteApiKey"
            ],
            "resource": [
                "*"
            ],
            "condition": {
                "bool_equal": {
                    "qcs:BindToken": "true"
                }
            }
        }
    ]
}

上一篇: 条件键和条件运算符下一篇: 策略版本控制

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈