文档中心

对等连接PC用户指南

4.1.2.1 任务简介

IAM 权限基于 IAM 用户授权云资源权限，定义了允许和拒绝的访问操作。默认情况下，新创建的 IAM用户不具备任何资源权限，需授权IAM用户，才能基于被授权的资源权限进行操作。授权IAM 用户，可选择直接给用户添加IAM权限策略；也可选择需将其加入用户组，且该用户组已添加IAM 权限策略。

本小节主要介绍如何设置 IAM 权限，授权 IAM 用户使用对等连接资源。

4.1.2.2 前提条件

给用户组授权之前，已了解用户需具备的对等连接权限，并已掌握权限策略授权范围。

4.1.2.3 创建 IAM 用户

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)单击页面右上角的“创建用户”，进入创建用户页面。

(4)配置 IAM 用户账号信息和访问方式。

¡ 账号信息：可根据需要输入用户名、显示名、手机号、邮箱和备注信息。

单击“添加用户”可继续创建 IAM 用户，一次最多可创建 10 个 IAM 用户，且同时创建的用户访问方式相同。

¡ 访问方式：可根据需要选择控制台访问或编程访问。

− 控制台访问：用户使用账号密码访问云平台。选择该项后，可根据需要设置控制台密码生成方式。

− 编程访问：启用 AccessKey ID 和 AccessKeySecret，支持通过 API 或其他开发工具访问。

(5)单击“确定”，弹出 IAM 用户创建成功窗口。

(6)单击“确定”，下载用户密码至本地保存，且可查看新创建的用户列表。

4.1.2.4 IAM 用户授权

1. 授权单个 IAM 用户使用对等连接

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)单击 IAM 用户对应操作列的“添加权限”，弹出添加权限窗口。

(4)在“授权范围”区域，选择权限范围。可选择“整个云账号”或“指定资源组”。

(5)在“被授权主体类型”区域，确认被授权主体类型为 IAM 用户，并确认被授权主体为当前IAM 用户。

(6)在权限策略区域，选择一个或多个对等连接权限策略后，单击，将其移入已选择区域，表示要为该 IAM 用户添加的权限。

¡ 您也可以将已配置的权限策略移除。

¡ 权限策略区域列表中包含该账号下全量的系统策略和自定义策略。

(7) 单击“确定”，完成为单个 IAM 用户的授权操作。

2. 授权用户组使用对等连接

(1) 登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)在左侧导航栏选择“用户组”，进入用户组页面。

(4)创建用户组。

a. 单击页面右上角的“创建用户组”，弹出创建用户组窗口。

b. 可根据需要输入用户组名称和备注信息。

c. 单击“确定”，完成创建用户组操作。

(5)添加组成员。

a. 单击用户组对应操作列的“添加组成员”，弹出添加组成员窗口。

b. 在用户区域，选择一个或多个 IAM 用户后，单击，将其移入已选择区域。

− 您也可以将已添加的用户从用户组移除。

− 用户区域列表包含该账号下已创建的全部 IAM 用户。

− 已被添加至其他用户组的用户置灰，不能被添加到新用户组。

c. 单击“确定”，完成添加用户组成员操作。

(6)添加用户组权限。

a. 单击用户组对应操作列的“添加权限”，弹出添加权限窗口。

b. 在权限策略区域，选择一个或多个对等连接权限策略后，单击，将其移入已选择区域，表示要为该 IAM 用户添加的权限。

− 您也可以将已配置的权限从用户组移除。

− 权限策略列框包含该账号下全量系统策略和自定义策略。

c. 单击“确定”，完成添加用户组权限操作。

4.1.2.5 IAM 用户登录并验证权限

(1)使用 IAM 用户账号登录专属云控制台。

(2)鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接页面。

(3)对对等连接里的相关资源执行相应操作，确认权限策略是否生效。

4.1.3 创建IAM自定义权限策略

4.1.3.1 任务简介

IAM 权限策略是一组资源权限集，对等连接支持“系统策略”和“自定义策略”。

如果预置的对等连接系统策略不满足使用要求，可通过创建自定义策略，添加授权项（Action），对对等连接资源进行精细的权限管理。目前支持“可视化配置”和“脚本配置”两种方式创建自定义权限策略。

•可视化配置：按可视化导航栏选择权限策略效力、云产品/服务、操作、资源、请求条件等内容，自动生成权限策略。

•脚本配置：提供基本权限策略模板，可根据需要输入权限策略内容。

本小节主要介绍如何在管理控制台创建自定义策略。

4.1.3.2 可视化配置自定义策略

(1) 登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)在左侧导航栏选择“权限策略管理”，进入权限策略管理页面。 (4) 单击“创建自定义权限策略”，进入创建自定义权限策略页面。

(5)配置权限策略的基本信息。

¡ 权限策略名称：根据需要输入权限策略的名称。

¡ 备注：可根据需要输入权限策略的备注信息。

(6)配置方式：选择“可视化配置”。

(7)配置权限策略内容。

a. 配置权限策略效力，可选择“允许”或“拒绝”。

− 允许：表示该策略为允许操作效力。

− 拒绝：表示该策略为拒绝操作效力。

b. 配置云服务，选择“对等连接 PC”。

c. 配置云服务操作，根据需要选择操作权限。

d. 配置资源，可选择“全部资源”或“特定资源”。

类型

型号

全部资源

授予所有资源的相应权限。

特定资源

授予特定资源的相应权限。

可指定特定实例资源。

e. （可选）配置请求条件：对等连接目前暂不支持添加请求条件。

(8)确认配置信息无误后，单击“确定”，完成可视化配置自定义策略操作。

4.1.3.3 脚本配置自定义策略

(1)登录 CECSTACK 专属云控制台。

(2)鼠标悬停至页面右上角的账号名称上，在弹出的下拉菜单中单击“身份认证与访问管理”，进入用户管理页面。

(3)在左侧导航栏选择“权限策略管理”，进入权限策略管理页面。

(4)单击“创建自定义权限策略”，进入创建自定义权限策略页面。

(5)配置权限策略的基本信息。

¡ 权限策略名称：根据需要输入权限策略的名称。

¡ 备注：可根据需要输入权限策略的备注信息。

(6)配置方式：选择“脚本配置”。

(7)在权限策略内容区域，可根据需要直接编辑脚本，也可基于已有策略进行修改。

(8)确认配置信息无误后，单击“确定”，完成脚本配置自定义策略操作。

4.2 管理同地域对等连接

4.2.1 创建同地域对等连接

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接页面。

(2) 单击页面右上角的“创建同地域对等连接”，弹出创建对等连接窗口。

(3)根据下表中的参数说明配置参数信息。

(4)单击“确定”，完成创建同地域对等连接操作。

4.2.2 接受/拒绝对等连接

任务简介

创建同地域跨账号的 VPC 对等连接后，会在对端账号的待接受列表页签页面显示该请求，对端账号若接受请求，则同地域跨账号的 VPC对等连接建立成功；若拒绝请求，则 VPC之间无法建立连接。

操作步骤

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击“待接受列表”页签，进入待接受列表页签页面。

(3)单击对等连接请求对应操作列的“接受请求”或“拒绝请求”。

4.2.3 删除对等连接

限制与指导

删除对等连接会同时删除其相关路由等属性，请谨慎删除。

操作步骤

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击对等连接对应操作列的“删除”，弹出确认窗口。

(3)确认要删除的对等连接信息后，单击“确定”，完成删除操作。

4.3 管理跨地域对等连接

4.3.1 创建跨地域对等连接

4.3.1.1 创建跨地域对等连接（按需计费模式）

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接页面。

(2)单击页面右上角的“创建跨地域对等连接”，进入跨地域对等连接创建页面。

(3)根据下表中的参数说明进行配置，完成后单击“立即支付”或“立即申请”。

(4)在确认配置页面，确认所有配置无误后，根据页面显示，可进行如下操作：

¡ 单击“立即申请”，待管理员通过审批后，即可完成创建跨地域对等连接操作。

¡ 单击“立即支付”，选择支付方式，并单击“确认付款”后，即可完成创建跨地域对等连接操作。

¡ 单击“立即开通”，即可完成创建跨地域对等连接操作。

4.3.1.2 创建跨地域对等连接（包周期计费模式）

(1) 在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等

连接”，进入对等连接页面。

(2)单击页面右上角的“创建跨地域对等连接”，进入跨地域对等连接创建页面。

(3)根据下表中的参数说明进行配置，完成后单击“立即支付”或“立即申请”。

(4)在确认配置页面，确认所有配置无误后，根据页面显示，可进行如下操作：

单击“立即申请”，待管理员通过审批后，即可完成创建跨地域对等连接操作。
单击“立即支付”，选择支付方式，并单击“确认付款”后，即可完成创建跨地域对等连接操作。

4.3.2 接受/拒绝对等连接

任务简介

创建跨地域跨账号的 VPC 对等连接后，会在对端账号的待接受列表页签页面显示该请求，对端账号若接受请求，则跨地域跨账号的 VPC对等连接建立成功；若拒绝请求，则 VPC之间无法建立连接。

操作步骤

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击“待接受列表”页签，进入待接受列表页签页面。

(3)单击对等连接请求对应操作列的“接受请求”或“拒绝请求”。

4.3.3 开启/关闭DNS同步

4.3.3.1 开启 DNS 同步

任务简介

开启 DNS 同步后，两端 VPC 内的域名可以跨 VPC 进行解析。

例如，租户T1和租户T2处于不同地域，且租户T1的VPC1关联了Zone1域名，租户T2的VPC2 关联了 Zone2 域名，若 VPC1 和 VPC2 之间建立对等连接，且开启了 DNS 同步，则租户 T1 和租户 T2 都可以看到均有 Zone1、Zone2 两个域名。租户 T1 可查看到 Zone1、Zone2 分别关联了

VPC1；租户 T2 可查看到 Zone1、Zone2 分别关联了 VPC2。

限制与指导

•跨地域对等连接开启 DNS 同步功能，会默认开通云解析 Private DNS 服务。

•若为同账号之间建立跨地域对等连接，则发起端或接收端开启 DNS 同步功能后，另一端会同步开启；若为跨账号建立跨地域对等连接，则需要发起端和接收端都开启 DNS 同步功能后才会生效。若其中一端关闭了 DNS 同步，则将不再支持 DNS 同步功能。

•若对等连接两端都关联有相同域名（例如 zone1.com），则开启 DNS 同步后，系统将不会做任何操作。

•开启 DNS 同步后，若对端同步过来的域名在本端已存在，则系统实际会进行绑定 VPC 的操作。

操作步骤

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击对等连接对应操作列的“开启 DNS 同步”，弹出确认窗口。

(3)单击“确定”，完成开启 DNS 同步操作。

4.3.3.2 关闭 DNS 同步

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击对等连接对应操作列的“关闭 DNS 同步”，弹出确认窗口。

(3)单击“确定”，完成关闭 DNS 同步操作。

4.3.4 修改带宽

限制与指导

•对于跨账号创建的对等连接，只有发起方可以进行修改带宽操作。

•修改带宽操作立即生效。

操作步骤

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击对等连接对应操作列的“修改带宽”，进入跨地域对等连接修改带宽页面。

(3)根据需要，配置扩容后的带宽大小后，单击“下一步”，进入确认配置页面。

(4)确认带宽变更前后的配置和需要补的费用后，根据页面显示，可进行如下操作：

¡ 单击“立即申请”，待管理员通过审批后，即可修改带宽。

¡ 单击“去支付”，选择支付方式，并单击“确认付款”后，即可修改带宽。

(5)单击“立即开通”，即可修改带宽。

4.3.5 续费对等连接（包周期计费模式）

任务简介

包周期购买的对等连接实例到达计费周期后，需要续费后才可继续使用。

操作步骤

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击对等连接对应操作列的“续费”，进入产品续费页面。

(3)确认产品实例信息和续费时长后，根据页面显示，可进行如下操作：

单击“立即申请”，待管理员通过审批后，即可完成续费操作。
单击“去支付”，选择支付方式，并单击“确认付款”后，即可完成续费操作。

4.3.6 释放/退订对等连接

4.3.6.1 释放对等连接（按需计费模式）

限制与指导

•若为跨账号创建的对等连接，则只有发起方可以释放对等连接。

•释放对等连接会同时删除其相关路由等属性，请谨慎删除。

操作步骤

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击对等连接对应操作列的“释放”，弹出确认窗口。

(3)确认要释放的对等连接信息后，单击“确定”，完成释放操作。

4.3.6.2 退订对等连接（包周期计费模式）

限制与指导

•若为跨账号创建的对等连接，则只有发起方可以退订对等连接。

•退订对等连接会同时删除其相关路由等属性，请谨慎删除。

操作步骤

(1)在 CECSTACK 专属云控制台，鼠标悬浮在页面左上角的上，选择“产品与服务 > 对等连接”，进入对等连接列表页面。

(2)单击对等连接对应操作列的“退订”，弹出确认窗口。

(3)确认要退订实例、退订原因、退款金额等信息，并勾选“我已确认本次退订金额和相关费用”后，单击“退订”，根据页面显示，可进行如下操作：

在弹出的确认窗口中，单击“确定”，待管理员通过审批后，即可完成退订。
在弹出的确认窗口中，进行手机号或邮箱验证后，单击“确定”，即可完成退订。

意见反馈

文档内容是否对您有帮助？

如您有其他疑问，您也可以通过在线客服来与我们联系探讨在线客服

	策略名称		权限描述
	CecloudPCOperationAccess		具备使用对等连接（PC）资源的权限。策略权限脚本配置内容如下： { "Version" : "1", "Statement" : [ { "Effect" : "Allow", "Resource" : "*", "Action" : [ "PC:GetPeeringDetail", "PC:AcceptPeering", "PC:RejectPeering", "PC:GetPeeringList", "VPC:GetRouteTableList" ] } ] }
	CecloudPCReadOnlyAccess		具备对等连接（PC）资源的只读权限。策略权限脚本配置内容如下： {
		"Version" : "1", "Statement" : [ { "Effect" : "Allow", "Resource" : "", "Action" : "PC:Get" } ] }
CecloudPCFullAccess		具备对等连接（PC）资源的管理权限，可以对账号下的所有资源执行所有操作。策略权限脚本配置内容如下： { "Version" : "1", "Statement" : [ { "Effect" : "Allow", "Resource" : "", "Action" : [ "PC:", "VPC:GetRouteTableList" ] } ] }