为了保障云产品的服务可用,并防止您误操作资源。当您使用需要创建安全组的云产品时,云产品系统将选择创建托管模式的安全组,即托管安全组。本文主要介绍托管安全组及相关权限。
背景信息
托管模式下的安全组称为托管安全组。该模式是为了解决部分云产品(例如:云防火墙、NAT网关等)的安全组操作权限控制问题。该类安全组由云产品系统管理,您只有查看权限,没有操作权限。详细说明如下:
说明 创建托管安全组的方式是阿里云云产品通过阿里云临时安全令牌(Security Token Service,STS)授权您的账号的RAM角色自动进行的。关于STS的详细信息,请参见什么是STS。
- 通过云产品控制台,您不能操作托管安全组,仅能在控制台界面查看托管安全组的相关信息。
- 通过OpenAPI访问托管安全组,您仅能调用查询接口。如果您调用操作安全组相关的接口,将提示您该安全组为云产品系统管理的安全组,您无法操作,即返回包含错误码
InvalidOperation.ResourceManagedByCloudProduct的错误信息。具体权限,请参见托管安全组的OpenAPI权限说明。
您可以通过调用DescribeSecurityGroups接口,查看返回值参数ServiceManaged和ServiceID,确认相关的安全组是否为托管安全组。
托管安全组的OpenAPI权限说明
| API | 操作 | 您的阿里云账号 | 创建托管安全的云产品系统 |
|---|---|---|---|
| AuthorizeSecurityGroup |
|
不可操作 | 可以操作 |
| AuthorizeSecurityGroupEgress |
|
不可操作 | 可以操作 |
| RevokeSecurityGroup | 删除安全组入方向规则 | 不可操作 | 可以操作 |
| RevokeSecurityGroupEgress | 删除安全组出方向规则 | 不可操作 | 可以操作 |
| JoinSecurityGroup | 加入安全组 | 不可操作 | 可以操作 |
| LeaveSecurityGroup | 离开安全组 | 不可操作 | 可以操作 |
| DeleteSecurityGroup | 删除安全组 | 不可操作 | 可以操作 |
| ModifySecurityGroupAttribute | 修改安全组 | 不可操作 | 可以操作 |
| ModifySecurityGroupRule | 修改安全组入方向规则描述 | 不可操作 | 可以操作 |
| ModifySecurityGroupEgressRule | 修改安全组出方向规则描述 | 不可操作 | 可以操作 |
| ModifySecurityGroupPolicy | 修改安全组策略 | 不可操作 | 可以操作 |
| DescribeSecurityGroupAttribute | 查询安全组规则 | 可以操作 | 可以操作 |
| DescribeSecurityGroups | 查询安全组列表 | 可以操作 | 可以操作 |
| DescribeSecurityGroupReferences | 查询安全组和其他哪些安全组有安全组级别的授权行为 | 可以操作 | 可以操作 |
| CreateNetworkInterface | 创建弹性网卡 | 不可操作 | 可以操作 |
| ModifyNetworkInterfaceAttribute | 修改弹性网卡 | 不可操作 | 可以操作 |
| RunInstances | 创建实例 | 不可操作 | 可以操作 |
| CreateInstance | 创建实例 | 不可操作 | 可以操作 |
| ModifyInstanceAttribute | 修改实例的安全组 | 不可操作 | 可以操作 |
相关文章
精彩导读
热门资讯