API參考(2019-01-01)RAM如何鑒權 -

RAM使用者調用CloudMonitorAPI前，需要所屬的阿里雲帳號將權限原則授予對應的RAM使用者。

資源（Resource）

CloudMonitor只支援操作層級的鑒權，不支援資源層級的鑒權。Resource用*表示。

操作（Action）

CloudMonitor的Action包括CloudMonitor自身的Action和CloudMonitor關聯雲端服務執行個體的Action。因為CloudMonitor的監控資料從CloudMonitor關聯雲端服務的資源中獲得，所以這兩部分授權缺一不可。如果缺少CloudMonitor關聯雲端服務執行個體的Action，會導致無許可權查看執行個體列表，進而不能查看執行個體的監控資料，並設定警示。

如果沒有特殊需求，建議您使用存取控制（RAM）提供的預設系統策略：管理CloudMonitor的許可權（AliyunCloudMonitorFullAccess）和唯讀訪問CloudMonitor的許可權（AliyunCloudMonitorReadOnlyAccess）。這兩個系統策略中包含了CloudMonitor資料讀取和系統管理權限，以及CloudMonitor關聯雲端服務執行個體讀取的許可權。

如果系統策略不能滿足您的需求，您可以自訂權限原則。自訂權限原則格式為萬用字元標識首碼*，例如：cms:Describe*。

管理CloudMonitor許可權的Action為cms:*。
唯讀訪問CloudMonitor許可權的Action如下：
- cms:Get*
- cms:List*
- cms:Query*
- cms:BatchQuery*
- cms:Describe*
- cms:Cursor
- cms:BatchGet
- cms:BatchExport

查詢CloudMonitor關聯雲端服務執行個體列表的Action如下表所示。

說明

由於接入CloudMonitor的雲端服務逐步增加，下表僅列舉了主要雲端服務的Action。

雲端服務名稱	Action
Elastic Compute Service	`ecs:DescribeInstances`
雲資料庫RDS	`rds:DescribeDBInstances`
雲資料庫RDS	`rds:DescribeReplicas`
Server Load Balancer	`DescribeLoadBalancer*`
Virtual Private Cloud	`vpc:DescribeEipAddresses`
	`vpc:DescribeRouterInterfaces`
	`vpc:DescribeGlobalAccelerationInstances`
	`vpc:DescribeVpnGateways`
	`vpc:DescribeNatGateways`
	`vpc:DescribeBandwidthPackages`
	`vpc:DescribeCommonBandwidthPackages`
Object Storage Service	`oss:ListBuckets`
Log ServiceSLS	`log:ListProject`
CDN	`cdn:DescribeUserDomains`
輕量訊息佇列（原 MNS）	`mns:ListQueue`
輕量訊息佇列（原 MNS）	`mns:ListTopic`
Auto Scaling	`ess:DescribeScalingGroups`
ApsaraDB for Memcache	`ocs:DescribeInstances`
雲資料庫 Tair（相容 Redis）	`kvstore:DescribeInstances`
雲資料庫 Tair（相容 Redis）	`kvstore:DescribeLogicInstanceTopology`
ApsaraDB for HBase版	`hbase:DescribeClusterList`
時間序列資料庫TSDB	`hitsdb:DescribeHiTSDBInstanceList`
HybridDB for MySQL	`petadata:DescribeInstances`
HybridDB for MySQL	`petadata:DescribeDatabases`
雲原生資料倉儲 AnalyticDB PostgreSQL版	`gpdb:DescribeDBInstances`
E-MapReduce	`emr:ListClusters`
OpenSearch	`opensearch:ListApps`
Elasticsearch	`elasticsearch:ListInstance`
ApsaraDB for MongoDB	`mongodb:DescribeDBInstances`
NAT Gateway	`netgateway:DescribeNatGateways`
DDoS高防	`ddos:DescribeInstancePage`
雲企業網CEN	`cen:DescribeCens`
雲企業網CEN	`cen:DescribeCenAttachedChildInstances`
訊息佇列Kafka版	`kafka:GetKafkaInstanceList`
SCDN	`scdn:DescribeScdnUserDomains`
全站加速	`dcdn:DescribeDcdnUserDomains`
雲資料庫PolarDB	`polardb:DescribeDBInstances`

如果您僅需要對個別API授權，大多數API的Action格式為cms:{API名稱}，例如：只授權調用CreateMonitorGroupNotifyPolicy，Action為cms:CreateMonitorGroupNotifyPolicy。少數API的Action不符合上述規則，具體如下表所示。

API	Action
CreateHybridMonitorNamespace	cms:CreateCustomNamespace
DeleteHybridMonitorNamespace	cms:DeleteCustomNamespace
PutCustomEvent	cms:PutEvent
DescribeMetricTop	cms:QueryMetricTop
DescribeMetricList	cms:QueryMetricList
DescribeMetricLast	cms:QueryMetricLast
DescribeMetricData	cms:QueryMetricData
DescribeMetricEventList	cms:QueryEvent