全部產品
Search
文件中心

:託管安全性群組

更新時間:Jun 19, 2024

當使用需要建立安全性群組的雲產品時,為了保障雲產品的服務可用性,雲產品系統將選擇建立託管模式的安全性群組,即託管安全性群組。在多使用者、多團隊共用雲資源的環境中,託管安全性群組能夠有效防止使用者誤操作導致的故障或安全風險,從而提高雲產品整體的穩定性和安全性。本文主要介紹託管安全性群組的概念,以及相關OpenAPI許可權的說明,協助您更好地理解和管理託管安全性群組。

背景資訊

在託管模式下,安全性群組被稱為託管安全性群組。這種模式旨在解決部分雲產品(例如:Cloud Firewall、NAT Gateway等)的安全性群組操作許可權控制問題。託管安全性群組由雲產品系統進行管理,您只擁有查看許可權,沒有操作許可權。詳細說明如下:

說明

建立託管安全性群組的方式是阿里雲雲產品通過阿里雲臨時安全性權杖(Security Token Service,STS)授權您的帳號的RAM角色自動進行的。關於STS的更多資訊,請參見什麼是STS

  • 通過雲產品控制台:您不能操作託管安全性群組,僅能在控制台介面查看託管安全性群組的相關資訊。

  • 通過OpenAPI訪問託管安全性群組:您僅能調用查詢介面。如果您叫用作業安全性群組相關的介面,將提示您該安全性群組為雲產品系統管理的安全性群組,您無法操作,即返回包含錯誤碼InvalidOperation.ResourceManagedByCloudProduct的錯誤資訊。具體許可權,請參見託管安全性群組的OpenAPI許可權說明

您可以通過調用DescribeSecurityGroups介面,查看傳回值參數ServiceManagedServiceID,確認相關的安全性群組是否為託管安全性群組。

託管安全性群組的OpenAPI許可權說明

API

操作

您的阿里雲帳號

建立託管安全的雲產品系統

AuthorizeSecurityGroup

  • 增加安全性群組入方向規則

  • 入方向授權託管安全性群組的存取權限

不可操作

可以操作

AuthorizeSecurityGroupEgress

  • 增加安全性群組出方向規則

  • 出方向授權託管安全性群組的存取權限

不可操作

可以操作

RevokeSecurityGroup

刪除安全性群組入方向規則

不可操作

可以操作

RevokeSecurityGroupEgress

刪除安全性群組出方向規則

不可操作

可以操作

JoinSecurityGroup

加入安全性群組

不可操作

可以操作

LeaveSecurityGroup

離開安全性群組

不可操作

可以操作

DeleteSecurityGroup

刪除安全性群組

不可操作

可以操作

ModifySecurityGroupAttribute

修改安全性群組

不可操作

可以操作

ModifySecurityGroupRule

修改安全性群組入方向規則描述

不可操作

可以操作

ModifySecurityGroupEgressRule

修改安全性群組出方向規則描述

不可操作

可以操作

ModifySecurityGroupPolicy

修改安全性群組策略

不可操作

可以操作

DescribeSecurityGroupAttribute

查詢安全性群組規則

可以操作

可以操作

DescribeSecurityGroups

查詢安全性群組列表

可以操作

可以操作

DescribeSecurityGroupReferences

查詢安全性群組和其他哪些安全性群組有安全性群組層級的授權行為

可以操作

可以操作

CreateNetworkInterface

建立彈性網卡

不可操作

可以操作

ModifyNetworkInterfaceAttribute

修改彈性網卡

不可操作

可以操作

RunInstances

建立執行個體

不可操作

可以操作

CreateInstance

建立執行個體

不可操作

可以操作

ModifyInstanceAttribute

修改執行個體的安全性群組

不可操作

可以操作

相關文檔

  • 阿里雲Cloud Firewall(Cloud Firewall)是一款公用雲環境下的SaaS化防火牆,可統一管理南北向和東西向的流量,提供流量監控、精準存取控制、即時入侵防禦等功能,全面保護您的網路邊界。更多資訊,請參見什麼是Cloud Firewall

  • NAT Gateway(NAT Gateway)是一種網路位址轉譯服務,提供NAT代理(SNAT和DNAT)能力。更多資訊,請參見什麼是NAT Gateway