396
ECS API 发生子账号访问主账号资源时的鉴权规则__借助 RAM 实现子账号对主账号的 ECS 资源访问_API 参考_云服务器 ECS-阿里云
当子账号通过 ECS Open API 对主账号的 ECS 资源进行访问时,ECS 后台向 RAM 进行权限检查,以确保资源拥有者的确将相关资源的相关权限授予了调用者。
每个不同的 ECS API 会根据涉及到的资源以及 API 的语义来确定需要检查哪些资源的权限。具体地,每个 API 的鉴权规则见下表
| Action | 鉴权规则 |
|---|---|
| AllocatePublicIpAddress | acs:ecs: $regionid:$accountid:instance/$instanceid |
| AttachDisk | acs:ecs:$regionid:$accountid:disk/$diskid acs:ecs:$regionid:$accountid:instance/$instanceid |
| AuthorizeSecurityGroup | acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid [and acs:ecs:$regionid:$accountid:securitygroup/$sourcegroupid(如果指定了 SourceGroupId)] |
| CreateDisk | acs:ecs:$regionid:$accountid:disk/* [and acs:ecs:$regionid:$accountid:snapshot/$snapshotid(如果指定了 SnapshotId)] |
| CreateImage | acs:ecs:$regionid:$accountid:image/* acs:ecs:$regionid:$accountid:snapshot/$snapshotid |
| CreateInstance | acs:ecs:$regionid:$accountid:instance/* acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid acs:ecs:$regionid:$accountid:image/$imageid [and acs:ecs:$regionid:$accountid:snapshot/$snapshotid(如果指定了 DataDisk.n.SnapshotId)] |
| CreateSecurityGroup | acs:ecs:$regionid:$accountid:securitygroup/* |
| CreateSnapshot | acs:ecs:$regionid:$accountid:disk/$diskid acs:ecs:$regionid:$accountid:snapshot/* |
| DeleteDisk | acs:ecs:$regionid:$accountid:disk/$diskid |
| DeleteImage | acs:ecs:$regionid:$accountid:image/$imageid |
| DeleteInstance | acs:ecs:$regionid:$accountid:instance/$instanceid |
| DeleteSecurityGroup | acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid |
| DeleteSnapshot | acs:ecs:$regionid:$accountid:snapshot/$snapshotid |
| DescribeAutoSnapshotPolicy | acs:ecs:*:$accountid:snapshot/* |
| DescribeDisks | acs:ecs:$regionid:$accountid:disk/* |
| DescribeImages | acs:ecs:$regionid:$accountid:image/* |
| DescribeInstanceMonitorData | acs:ecs:$regionid:$accountid:instance/$instanceid |
| DescribeInstanceStatus | acs:ecs:$regionid:$accountid:instance/* |
| DescribeInstanceTypes | acs:ecs:*:$accountid:* |
| DescribeRegions | acs:ecs:*:$accountid:* |
| DescribeSecurityGroupAttribute | acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid |
| DescribeSecurityGroups | acs:ecs:$regionid:$accountid:securitygroup/* |
| DescribeSnapshots | acs:ecs:$regionid:$accountid:snapshot/* |
| DescribeZones | acs:ecs:*:$accountid:* |
| DetachDisk | acs:ecs:$regionid:$accountid:disk/$diskid acs:ecs:$regionid:$accountid:instance/$instanceid |
| JoinSecurityGroup | acs:ecs:$regionid:$accountid:instance/$instanceid acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid |
| LeaveSecurityGroup | acs:ecs:$regionid:$accountid:instance/$instanceid acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid |
| ModifyAutoSnapshotPolicy | acs:ecs:*:$accountid:snapshot/* |
| ModifyDiskAttribute | acs:ecs:$regionid:$accountid:disk/$diskid |
| ModifyInstanceAttribute | acs:ecs:$regionid:$accountid:instance/$instanceid |
| ModifyInstanceNetworkSpec | acs:ecs:$regionid:$accountid:instance/$instanceid |
| RebootInstance | acs:ecs:$regionid:$accountid:instance/$instanceid |
| ReplaceSystemDisk | acs:ecs:$regionid:$accountid:instance/$instanceid [and acs:ecs:$regionid:$accountid:image/$imageid (如果是使用了自定义镜像或者镜像市场的镜像)] |
| ReInitDisk | acs:ecs:$regionid:$accountid:disk/$diskid |
| ResetDisk | acs:ecs:$regionid:$accountid:snapshot/$snapshotid acs:ecs:$regionid:$accountid:disk/$diskid |
| RevokeSecurityGroup | acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid [and acs:ecs:$regionid:$accountid:securitygroup/$sourcegroupid(如果指定了 sourcegroupid)] |
| StartInstance | acs:ecs:$regionid:$accountid:instance/$instanceid |
| StopInstance | acs:ecs:$regionid:$accountid:instance/$instanceid |
| DescribeInstances | acs:ecs:$regionid:$accountid:instance/* |
| CreateVpc | acs:ecs:$regionid:$accountid:vpc/* |
| ModifyVpcAttribute | acs:ecs:$regionid:$accountid:vpc/$vpcid |
| DescribeVRouters | acs:ecs:$regionid:$accountid:vrouter/* |
| CreateVSwitch | acs:ecs:$regionid:$accountid:vswitch/* |
| CreateRouteTable | acs:ecs:$regionid:$accountid:routetable/* |
| CreateRouteEntry | acs:ecs:$regionid:$accountid:routetable/$routetableid |
| AllocateEipAddress | acs:ecs:$regionid:$accountid:eip/* |
| AssociateEipAddress | acs:ecs:$regionid:$accountid:eip/$allocationid acs:ecs:$regionid:$accountid:instance/$instanceid |
| ReleaseEipAddress | acs:ecs:$regionid:$accountid:eip/$allocationid |
| RenewInstance | acs:ecs:$regionid:$accountid:instance/$instanceid |
| DescribeVpcs | acs:ecs:$regionid:$accountid:vpc/* |
| DeleteVpc | acs:ecs:$regionid:$accountid:vpc/$vpcid |
| ModifyVRouterAttribute | acs:ecs:$regionid:$accountid:vrouter/$vrouterid |
| DescribeVSwitches | acs:ecs:$regionid:$accountid:vswitch/* |
| DeleteVSwitch | acs:ecs:$regionid:$accountid:vswitch/$vswitchid |
| DescribeRouteTables | acs:ecs:$regionid:$accountid:routetable/* |
| DeleteRouteEntry | acs:ecs:$regionid:$accountid:routetable/$routetableid |
| DescribeEipAddresses | acs:ecs:$regionid:$accountid:eip/* |
| UnassociateEipAddresses | acs:ecs:$regionid:$accountid:eip/$eipid acs:ecs:$regionid:$accountid:instance/$instanceid |
| ModifySecurityGroupAttribute | acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid |
| DescribeEipMonitorData | acs:ecs:$regionid:$accountid:eip/$allocationid |
| ModifyVSwitchAttribute | acs:ecs:$regionid:$accountid:vswitch/$vswitchid |
| DescribeInstanceVncUrl | acs:ecs:$regionid:$accountid:instance/$instanceid |
| ModifySnapshotAttribute | acs:ecs:$regionid:$accountid:snapshot/$snapshotid |
| ModifyInstanceVpcAttribute | acs:ecs:$regionid:$accountid:instance/$instanceid |
| ModifyEipAddressAttribute | acs:ecs:$regionid:$accountid:eip/$allocationid |
| DescribeDiskMonitorData | acs:ecs:$regionid:$accountid:disk/$diskid |
最后更新:2016-11-23 16:03:50
上一篇:
RAM 中可对 ECS 资源进行授权的 Action__借助 RAM 实现子账号对主账号的 ECS 资源访问_API 参考_云服务器 ECS-阿里云
下一篇: 创建实例__实例相关接口_API 参考_云服务器 ECS-阿里云
- 云栖大会:阿里云都发布了什么产品?
- 跨阿里云账号RDS实时同步__实时同步_用户指南_数据传输-阿里云
- 查询App录制配置__直播流操作接口_API 手册_CDN-阿里云
- 阿里云第一个点就选在了南海!腾讯也来了!未来南海这个产业潜力无限!
- DescribeVServerGroups__VServerGroup相关API_API 参考_负载均衡-阿里云
- SSH 登录时出现如下错误:login: Module is unknown__远程登录 (SSH)_Linux操作运维问题_云服务器 ECS-阿里云
- 卸载Agent__Agent_服务器安全(安骑士)-阿里云
- 常用 Docker 相关软件下载加速__构建管理_用户指南_容器服务-阿里云
- 智能客服__阿里云ET介绍-阿里云
- VPC创建vswitch提示Specified CIDR block overlapped with other subnets__异常处理_用户指南_专有网络 VPC-阿里云
相关内容
- 常见错误说明__附录_大数据计算服务-阿里云
- 发送短信接口__API使用手册_短信服务-阿里云
- 接口文档__Android_安全组件教程_移动安全-阿里云
- 运营商错误码(联通)__常见问题_短信服务-阿里云
- 设置短信模板__使用手册_短信服务-阿里云
- OSS 权限问题及排查__常见错误及排除_最佳实践_对象存储 OSS-阿里云
- 消息通知__操作指南_批量计算-阿里云
- 设备端快速接入(MQTT)__快速开始_阿里云物联网套件-阿里云
- 查询API调用流量数据__API管理相关接口_API_API 网关-阿里云
- 使用STS访问__JavaScript-SDK_SDK 参考_对象存储 OSS-阿里云