926
专有网络API的鉴权规则__借助RAM实现子账号对主账号的VPC资源访问_API参考_专有网络 VPC-阿里云
当子账号通过Open API 对主账号的专有网络资源进行访问时,专有网络后台向 RAM 进行权限检查,以确保资源拥有者的确将相关资源的相关权限授予了调用者。
每个不同的Open API 会根据涉及到的资源以及 API 的语义来确定需要检查哪些资源的权限。具体地,每个 API 的鉴权规则见下表:
| Action | Resource | Condition |
|---|---|---|
| vpc:CreateVpc | acs:vpc:$regionid:$accountid:vpc/* | |
| vpc:DeleteVpc | acs:vpc:$regionid:$accountid:vpc/$vpcid | |
| vpc:DescribeVpcs | acs:vpc:$regionid:$accountid:vpc/* | |
| vpc:ModifyVpcAttribute | acs:vpc:$regionid:$accountid:vpc/$vpcid | |
| vpc:DescribeVRouters | acs:vpc:$regionid:$accountid:vrouter/* | 指定要查询的VRouterId: “vpc:Vpc”:”acs:vpc:$regionid:$accountid:vpc/$vpcid” 未指定VRouterId: “vpc:Vpc”:”acs:vpc:$regionid:$accountid:vpc/*” |
| vpc:ModifyVRouterAttribute | acs:vpc:$regionid:$accountid:vrouter/$vrouterid | |
| vpc:CreateVSwitch | acs:vpc:$regionid:$accountid:vswitch/* acs:vpc:$regionid:$accountid:vpc/$vpcid |
|
| vpc:DeleteVSwitch | acs:vpc:$regionid:$accountid:vswitch/$vswitchid | |
| vpc:DescribeVSwitches | acs:vpc:$regionid:$accountid:vswitch/* | “vpc:Vpc”:”acs:vpc:$regionid:$accountid:vpc/$vpcid” |
| vpc:ModifyVSwitchAttribute | acs:vpc:$regionid:$accountid:vswitch/$vswitchid | |
| vpc:CreateRouteEntry | acs:vpc:$regionid:$accountid:routetable/$routetableid | |
| vpc:DeleteRouteEntry | acs:vpc:$regionid:$accountid:routetable/$routetableid | |
| vpc:DescribeRouteTables | acs:ecs:$regionid:$accountid:routetable/* | VRouter中的路由表: “vpc:VRouter”:”acs:vpc$regionid:$accountid:vrouter/$vrouterid” |
| vpc:CreateHaVip | acs:vpc:$regionid:$accountid:havip/* acs:vpc:$regionid:$accountid:vswitch/$vswitchid |
|
| vpc:DeleteHaVip | acs:vpc:$regionid:$accountid:havip/$havipid | |
| vpc:AssociateHaVip | acs:vpc:$regionid:$accountid:havip/$havipid acs:ecs:$regionid:$accountid:instance/$instanceid |
|
| vpc:UnassociateHaVip | acs:vpc:$regionid:$accountid:havip/$havipid acs:ecs:$regionid:$accountid:instance/$instanceid |
|
| vpc:DescribeHaVips | acs:vpc:$regionid:$accountid:havip/* | |
| vpc:AllocateEipAddress | acs:vpc:$regionid:$accountid:eip/* | |
| vpc:AssociateEipAddres | InstanceType为EcsInstance: acs:vpc:$regionid:$accountid:eip/$allocationid acs:ecs:$regionid:$accountid:instance/$instanceid InstanceType为HaVip: acs:vpc:$regionid:$accountid:eip/$allocationid acs:vpc:$regionid:$accountid:havip/$havipid |
|
| vpc:DescribeEipAddresses | acs:vpc:$regionid:$accountid:eip/* | |
| vpc:ModifyEipAddressAttribute | acs:vpc:$regionid:$accountid:eip/$allocationid | |
| vpc:UnassociateEipAddress | InstanceType为EcsInstance: acs:vpc:$regionid:$accountid:eip/$allocationid acs:ecs:$regionid:$accountid:instance/$instanceid InstanceType为HaVip: acs:vpc:$regionid:$accountid:eip/$allocationid acs:vpc:$regionid:$accountid:havip/$havipid |
|
| vpc:ReleaseEipAddress | acs:vpc:$regionid:$accountid:eip/$allocationid | |
| vpc:DescribeEipMonitorData | acs:vpc:$regionid:$accountid:eip/$allocationid | |
| CreaeNatGateway | acs:vpc:$regionid:$accountid:natgateway/* | |
| DescribeNatGateways | 查询指定NAT网关: acs:vpc:$regionid:$accountid:natgateway/$natgatewayid 查询NAT网关列表: acs:vpc:$regionid:$accountid:natgateway/* |
|
| ModifyNatGatewaySpec | acs:vpc:$regionid:$accountid:natgateway/$natgatewayid | |
| ModifyNatGatewayAttribute | acs:vpc:$regionid:$accountid:natgateway/$natgatewayid | |
| DeleteNatGateway | acs:vpc:$regionid:$accountid:natgateway/$natgatewayid | |
| CreateBandwidthPackage | acs:vpc:$regionid:$accountid:bandwidthpackage/* | |
| DescribeBandwidthPackages | 查询指定的共享带宽包信息: acs:vpc:$regionid:$accountid:bandwidthpackage/$bandwidthpackageid 查询共享带宽包列表: acs:vpc:$regionid:$accountid:bandwidthpackage/* |
|
| ModifyBandwidthPackageSpec | acs:vpc:$regionid:$accountid:bandwidthpackage/$bandwidthpackageid | |
| ModifyBandwidthPackageAttribute | acs:vpc:$regionid:$accountid:bandwidthpackage/$bandwidthpackageid | |
| AddBandwidthPackageIps | acs:vpc:$regionid:$accountid:bandwidthpackage/$bandwidthpackageid | |
| RemoveBandwidthPackageIps | acs:vpc:$regionid:$accountid:bandwidthpackage/$bandwidthpackageid | |
| DeleteBandwidthPackage | acs:vpc:$regionid:$accountid:bandwidthpackage/$bandwidthpackageid | |
| CreateForwardEntry | acs:vpc:$regionid:$accountid:forwardtable/$forwardtableid | |
| DeleteForwardEntry | acs:vpc:$regionid:$accountid:forwardtable/$forwardtableid | |
| ModifyForwardEntry | acs:vpc:$regionid:$accountid:forwardtable/$forwardtableid | |
| DescribeForwardTableEntries | acs:vpc:$regionid:$accountid:forwardtable/$forwardtableid | |
| CreateSnatEntry | acs:vpc:$regionid:$accountid:snattable/* | |
| ModifySnatEntry | acs:vpc:$regionid:$accountid:snattable/$snattableid | |
| DescribeSnatTableEntries | acs:vpc:$regionid:$accountid:snattable/$snattableid | |
| DeleteSnatEntry | acs:vpc:$regionid:$accountid:snattable/$snattableid |
关于其他云产品与VPC相关操作的说明
其他云产品的使用涉及到对专有网络资源(VPC、VSwitch等)的操作,需要相应专有网络资源的操作权限。例如创建ECS到某个交换机中,需要创建ECS和该VSwitch的权限;而在修改实例VPC属性时,如果将ECS从一个交换机迁移到另一个交换机时,需要同时具有该ECS实例和两个交换机的授权。
例如ECS CreateInstance和ModifyInstanceVpcAttribute:
| Action | Resource |
|---|---|
| ecs:CreateInstance | acs:ecs:$regionid:$accountid:instance/* acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid acs:ecs:$regionid:$accountid:image/$imageid [and acs:ecs:$regionid:$accountid:snapshot/$snapshotid(如果指定了 DataDisk.n.SnapshotId)] [acs:vpc:$regionid:$accountid:vswitch/$vswitchid(如果指定了VSwitchId)] |
| ecs:ModifyInstanceVpcAttribute | acs:ecs:$regionid:$accountid:instance/$instanceid acs:vpc:$regionid:$accountid:vswitch/$vswitchid(当前ECS所在的VSwitchId) acs:vpc:$regionid:$accountid:vswitch/$vswitchid(如果更换VSwitch,指定迁移到的VSwitchId) |
最后更新:2016-11-23 16:04:13
上一篇:
RAM中可对专有网络资源进行授权的Action__借助RAM实现子账号对主账号的VPC资源访问_API参考_专有网络 VPC-阿里云
下一篇: 申请弹性公网IP__弹性公网IP相关接口_API参考_专有网络 VPC-阿里云
- 阿里云天池医疗AI大赛迎来最后决赛,医疗AI面临哪些机遇与阻碍
- 批量数据通道概要__SDK介绍_批量数据通道_大数据计算服务-阿里云
- 测试报告阶段__性能测试流程体系_性能测试体系_性能测试-阿里云
- 线路说明___购买指导_DDoS 高防IP-阿里云
- 多执行计划并行执行__执行计划_用户指南_E-MapReduce-阿里云
- 修改数据库备注__数据库管理_API 参考_云数据库 RDS 版-阿里云
- 搜索指定 Topic 详细信息__Topic 相关接口_Open API_消息队列 MQ-阿里云
- 文本分析__使用手册(new)_机器学习-阿里云
- 阿里云与政府打造城市大脑,120一呼即到的日子来了
- 设置可维护时间段__实例管理_用户指南_云数据库 RDS 版-阿里云
相关内容
- 常见错误说明__附录_大数据计算服务-阿里云
- 发送短信接口__API使用手册_短信服务-阿里云
- 接口文档__Android_安全组件教程_移动安全-阿里云
- 运营商错误码(联通)__常见问题_短信服务-阿里云
- 设置短信模板__使用手册_短信服务-阿里云
- OSS 权限问题及排查__常见错误及排除_最佳实践_对象存储 OSS-阿里云
- 消息通知__操作指南_批量计算-阿里云
- 设备端快速接入(MQTT)__快速开始_阿里云物联网套件-阿里云
- 查询API调用流量数据__API管理相关接口_API_API 网关-阿里云
- 使用STS访问__JavaScript-SDK_SDK 参考_对象存储 OSS-阿里云