tencent cloud

NAT 网关

动态与公告
产品动态
产品公告
产品简介
产品概述
产品功能
应用场景
产品规格
相关产品
购买指南
公网 NAT 网关计费概述
私网 NAT 网关计费概述
购买方式
欠费说明
快速入门
公网 NAT 网关操作指南
修改 NAT 网关配置
管理 NAT 网关的弹性公网 IP
配置指向 NAT 网关的路由
管理 SNAT 规则
管理端口转发规则
公网 NAT 使用限制
NAT 网关流日志
绑定高防包
告警与监控
删除 NAT 网关
调整 NAT 网关和 EIP 的优先级
私网 NAT 网关操作指南
创建与管理 NAT 网关
配置指向私网 NAT 网关的路由
管理 SNAT 规则
管理 DNAT 规则
访问管理
实践教程
通过标准型 NAT 实现跨 VPC 访问公网
通过私网 NAT 实现 VPC 内指定子网和外部资源互访
通过公网 CLB + NAT 方式实现安全的公网互访
调整 NAT 网关和 EIP 的优先级
API 文档
常见问题
计费类
概念类
功能类
服务等级协议
联系我们
词汇表
文档NAT 网关私网 NAT 网关操作指南访问管理

访问管理

PDF
聚焦模式
字号
最后更新时间: 2024-08-01 14:15:29

操作场景

您可以通过使用访问管理(Cloud Access Management,CAM)策略,让用户拥有在控制台中查看和使用特定资源的权限。本文档提供了查看和使用私网 NAT 网关特定资源的权限示例,指导用户如何使用控制台的特定部分的策略。

授权定义

CAM 中可对私网 NAT 网关进行授权的资源

资源类型
授权策略中的资源描述方法
NAT 网关实例
qcs::vpc:{region_short_name}:uin/{Uin}:nat/{NatGatewayId}
NAT 网关接口
qcs::vpc:{region_short_name}:uin/{Uin}:nat/*
其中:
所有{region_short_name}应为某个 region 的 ID,可以为空。
所有{Uin}应为资源拥有者的 AccountId,或者“*”。
所有{NatGatewayId}应为某个 NAT 实例的 ID,或者“*”。
以此类推。

CAM 中可对私网 NAT 网关进行授权的接口

在 CAM 中,可以对一个 NAT 资源进行以下 Action 的授权。
API 操作
资源描述
接口说明
CreatePrivateNatGateway
创建私网 NAT 网关
qcs::vpc:$region:$account:intranat/*
qcs::vpc:$region:$account:vpc/*
DeletePrivateNatGateway
删除私网 NAT 网关
qcs::vpc:$region:$account:intranat/$intranatid
ModifyPrivateNatGatewayAttribute
修改私网 NAT 网关属性
qcs::vpc:$region:$account:intranat/$intranatid
DescribePrivateNatGateways
查询私网 NAT 网关
qcs::vpc:$region:$account:intranat/*
DescribePrivateNatGatewayLimits
查询可创建的私网 NAT 网关配额数量
qcs::vpc:$region:$account:intranat/*
qcs::vpc:$region:$account:vpc/$vpcid
CreatePrivateNatGatewayTranslationNatRule
创建私网 NAT 网关源端转换规则
qcs::vpc:$region:$account:intranat/$intranatid
DeletePrivateNatGatewayTranslationNatRule
删除私网 NAT 网关源端转换规则
qcs::vpc:$region:$account:intranat/$intranatid
ModifyPrivateNatGatewayTranslationNatRule
修改私网 NAT 网关源端转换规则
qcs::vpc:$region:$account:intranat/$intranatid
DescribePrivateNatGatewayTranslationNatRules
查询私网 NAT 网关源端转换规则
qcs::vpc:$region:$account:intranat/$intranatid
CreatePrivateNatGatewayTranslationAclRule
创建私网 NAT 网关源端转换访问控制规则
qcs::vpc:$region:$account:intranat/$intranatid
DeletePrivateNatGatewayTranslationAclRule
删除私网 NAT 网关源端转换访问控制规则
qcs::vpc:$region:$account:intranat/$intranatid
ModifyPrivateNatGatewayTranslationAclRule
修改私网 NAT 网关源端转换访问控制规则
qcs::vpc:$region:$account:intranat/$intranatid
DescribePrivateNatGatewayTranslationAclRules
查询私网 NAT 网关源端转换访问控制规则
qcs::vpc:$region:$account:intranat/$intranatid
CreatePrivateNatGatewayDestinationIpPortTranslationNatRule
创建私网 NAT 网关目的端口转换规则
qcs::vpc:$region:$account:intranat/$intranatid
DeletePrivateNatGatewayDestinationIpPortTranslationNatRule
删除私网 NAT 网关目的端口转换规则
qcs::vpc:$region:$account:intranat/$intranatid
ModifyPrivateNatGatewayDestinationIpPortTranslationNatRule
修改私网 NAT 网关目的端口转换规则
qcs::vpc:$region:$account:intranat/$intranatid
DescribePrivateNatGatewayDestinationIpPortTranslationNatRules
查询私网 NAT 网关目的端口转换规则
qcs::vpc:$region:$account:intranat/$intranatid
DescribePrivateNatGatewayRegions
查询私网 NAT 网关可支持地域
qcs::vpc:$region:$account:intranat/*

策略示例

所有 NAT 的全读写策略

授权一个子账户以 NAT 服务的完全管理权限,包括创建、管理等全部操作。
{
"version": "2.0",
"statement": [{
"action": [
"vpc:*"
],
"resource": "qcs::vpc::$uin:nat/*",
"effect": "allow"
}]}
{
"version": "2.0",
"statement": [{
"action": [
"vpc:*"
],
"resource": "qcs::vpc::$uin:intranat/*",
"effect": "allow"
}]}

只读策略

授权一个子账户只读访问 NAT 的权限。
{ 
"version": "2.0", 
"statement": [{
 "action": [ 
 "vpc:Describe*" 
 ],
  "resource": "qcs::vpc::$uin:nat/*", 
  "effect": "allow" }]}
{ 
"version": "2.0",
 "statement": [{ 
 "action": [ 
 "vpc:Describe*" 
 ], 
 "resource": "qcs::vpc::$uin:intranat/*", 
 "effect": "allow" 
 }]}

某个标签下 NAT 的全读写策略

{
"version":"2.0",
"statement":[{
"effect":"allow",
"action":"*",
"resource":"*",
"condition":{
"for_any_value:string_equal":{
"qcs:tag":[
"tagkey&tagvalue"
]}}}]}

上一篇: 管理 DNAT 规则下一篇: 通过标准型 NAT 实现跨 VPC 访问公网

帮助和支持

本页内容是否解决了您的问题?

填写满意度调查问卷,共创更好文档体验。

文档反馈