NAT 网关自定义策略

如果系统预置的NAT网关权限，不满足您的授权要求，可以创建自定义策略。自定义 策略中可以添加的授权项（Action）请参考策略及授权项说明。

目前华为云支持以下两种方式创建自定义策略：

● 可视化视图创建自定义策略：无需了解策略语法，按可视化视图导航栏选择云服 务、操作、资源、条件等策略内容，可自动生成策略。

● JSON视图创建自定义策略：可以在选择策略模板后，根据具体需求编辑策略内 容；也可以直接在编辑框内编写JSON格式的策略内容。

具体创建步骤请参见：创建自定义策略。本章为您介绍常用的NAT网关自定义策

如果您给用户授予NAT FullAccess的系统策略，但不希望用户拥有NAT

FullAccess中定义的删除NAT网关权限，您可以创建一条拒绝删除NAT网关的策 略，然后同时将NAT FullAccess和拒绝策略授予用户，根据Deny优先原则，则用 户可以对NAT网关执行除了删除NAT网关外的所有操作。拒绝策略示例如下：

4 ^标签管理

应用场景

NAT网关标签是NAT网关的标识。为NAT网关添加标签，可以方便用户识别和管理拥 有的NAT网关。您可以在创建NAT网关时增加标签或者在已经创建的NAT网关详情页 添加标签，最多可以给NAT网关添加10个标签。

说明

目前仅公网NAT网关支持标签管理功能。

标签共由两部分组成：“键”和“值”，其中，“键”和“值”的命名规则如表4-1所 示。

表4-1 标签命名规则 参数 规则

键 ● 不能为空。

● 对于同一NAT网关键值唯一。

● 长度不超过36个字符。

● 不能包含“=”、“*”、“<”、“>”、“\\”、“,”、“|”和

“/”，且首尾字符不能为空格。

值 ● 长度不超过43个字符。

● 不能包含“=”、“*”、“<”、“>”、“\\”、“,”、“|”和

“/”，且首尾字符不能为空格。

操作步骤

在公网NAT网关列表页，按标签的键或值搜索目标公网NAT网关。

1. 登录管理控制台。

2. 在管理控制台左上角单击 ，选择区域和项目。

3. 选择“网络 > NAT网关”。

4. 单击公网NAT网关列表右上角的“标签搜索”，展开查询页。

5. 输入待查询公网NAT网关的标签值。键和值均不能为空。

6. 单击“+”，添加需查询的标签值。

系统支持添加10个标签值，并取各个标签值的交集，对目标公网NAT网关进行搜 索。

7. 单击“搜索”。

系统根据标签的键和值搜索公网NAT网关。

在公网NAT网关的标签页，执行标签的增、删、改、查操作。

1. 登录管理控制台。

2. 在管理控制台左上角单击 ，选择区域和项目。

3. 选择“网络 > NAT网关”。

4. 单击公网NAT网关列表中需要查看的公网NAT网关名称，进入公网NAT网关详情 页面。

5. 选择“标签”页签，对公网NAT网关的标签执行增、删、改、查。

– 查看

在“标签”页，可以查看当前公网NAT网关的标签详情，包括标签个数，以 及每个标签的键和值。

– 添加

单击左上角的“添加标签”，在弹出的“添加标签”窗口，输入新添加标签 的键和值，并单击“确定”。

说明

您可以根据界面提示，使用标签管理服务的预定义标签功能，简化添加标签的操作。

预定义标签操作请参见《标签管理服务用户指南》。

– 修改

单击标签所在行“操作”列下的“编辑”，在弹出的“编辑标签”窗口，输 入修改后标签的值，并单击“确定”。

– 删除

单击标签所在行“操作”列下的“删除”，如果确认删除，在弹出的“删除 标签”窗口，单击“是”。

用户指南 4 标签管理

5 ^{敏感操作保护}

操作场景

NAT网关支持敏感操作保护，在控制台进行敏感操作时，需要输入一种能证明身份的 凭证，身份验证通过后方可进行相关操作。为了帐号安全，建议开启操作保护功能，

该功能对帐号以及帐号下的用户都生效。

目前支持：删除NAT网关、删除SNAT规则和删除DNAT规则。

开启操作保护

操作保护默认关闭，您可以参考以下步骤开启操作保护。

1. 登录华为云控制台。

2. 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设 置”。

图5-1 安全设置

3. 在“安全设置”页面中，选择“敏感操作 > 操作保护 > 立即启用”。

图5-2 敏感操作

4. 在“操作保护设置”页面中，选择“开启”，单击“确定”后，开启操作保护。

开启后，您以及帐号中的IAM用户进行敏感操作时，例如删除NAT网关资源，需 要输入验证码进行验证，避免误操作带来的风险和损失。

说明

● 用户如果进行敏感操作，将进入“操作保护”页面，选择认证方式，包括邮箱、手机和 虚拟MFA三种认证方式。

● 如果用户只绑定了手机，则认证方式只能选择手机。

● 如果用户只绑定了邮箱，则认证方式只能选择邮件。

● 如果用户未绑定邮箱、手机和虚拟MFA，进行敏感操作时，华为云将提示用户绑 定邮箱、手机或虚拟MFA。

● 如需修改验证手机、邮箱、虚拟MFA设备，请在帐号中修改。

验证操作保护

当您已经开启操作保护，在进行敏感操作时，系统会先进行操作保护验证：

● 若您绑定了邮箱，需输入邮箱验证码。

● 若您绑定了手机，需输入手机验证码。

● 若您绑定了虚拟MFA，需输入MFA设备上的6位动态验证码。

如图5-3所示，尝试删除NAT网关时，弹出以下验证框，选择一种验证方式：

用户指南 5 敏感操作保护

图5-3 操作保护身份验证

关闭操作保护

如需关闭操作保护，请参考以下步骤操作。

1. 登录华为云控制台。

2. 在“控制台”页面，鼠标移动至右上方的用户名，在下拉列表中选择“安全设 置”。

图5-4 安全设置

3. 在“安全设置”页面中，选择“敏感操作 > 操作保护 > 立即修改”。

图5-5 修改敏感操作

4. 在“操作保护设置”页面中，选择“关闭”，单击“确定”后，关闭操作保护。

相关链接

● 如何绑定虚拟MFA设备？

● 如何获取MFA验证码？

用户指南 5 敏感操作保护

6 ^监控管理

tion SNAT 连接数

dwidth 入方向 带宽