當使用需要建立安全性群組的雲產品時,為了保障雲產品的服務可用性,雲產品系統將選擇建立託管模式的安全性群組,即託管安全性群組。在多使用者、多團隊共用雲資源的環境中,託管安全性群組能夠有效防止使用者誤操作導致的故障或安全風險,從而提高雲產品整體的穩定性和安全性。本文主要介紹託管安全性群組的概念,以及相關OpenAPI許可權的說明,協助您更好地理解和管理託管安全性群組。
背景資訊
在託管模式下,安全性群組被稱為託管安全性群組。這種模式旨在解決部分雲產品(例如:Cloud Firewall、NAT Gateway等)的安全性群組操作許可權控制問題。託管安全性群組由雲產品系統進行管理,您只擁有查看許可權,沒有操作許可權。詳細說明如下:
建立託管安全性群組的方式是阿里雲雲產品通過阿里雲臨時安全性權杖(Security Token Service,STS)授權您的帳號的RAM角色自動進行的。關於STS的更多資訊,請參見什麼是STS。
通過雲產品控制台:您不能操作託管安全性群組,僅能在控制台介面查看託管安全性群組的相關資訊。
通過OpenAPI訪問託管安全性群組:您僅能調用查詢介面。如果您叫用作業安全性群組相關的介面,將提示您該安全性群組為雲產品系統管理的安全性群組,您無法操作,即返回包含錯誤碼
InvalidOperation.ResourceManagedByCloudProduct的錯誤資訊。具體許可權,請參見託管安全性群組的OpenAPI許可權說明。
您可以通過調用DescribeSecurityGroups介面,查看傳回值參數ServiceManaged和ServiceID,確認相關的安全性群組是否為託管安全性群組。
託管安全性群組的OpenAPI許可權說明
API | 操作 | 您的阿里雲帳號 | 建立託管安全的雲產品系統 |
| 不可操作 | 可以操作 | |
| 不可操作 | 可以操作 | |
刪除安全性群組入方向規則 | 不可操作 | 可以操作 | |
刪除安全性群組出方向規則 | 不可操作 | 可以操作 | |
加入安全性群組 | 不可操作 | 可以操作 | |
離開安全性群組 | 不可操作 | 可以操作 | |
刪除安全性群組 | 不可操作 | 可以操作 | |
修改安全性群組 | 不可操作 | 可以操作 | |
修改安全性群組入方向規則描述 | 不可操作 | 可以操作 | |
修改安全性群組出方向規則描述 | 不可操作 | 可以操作 | |
修改安全性群組策略 | 不可操作 | 可以操作 | |
查詢安全性群組規則 | 可以操作 | 可以操作 | |
查詢安全性群組列表 | 可以操作 | 可以操作 | |
查詢安全性群組和其他哪些安全性群組有安全性群組層級的授權行為 | 可以操作 | 可以操作 | |
建立彈性網卡 | 不可操作 | 可以操作 | |
修改彈性網卡 | 不可操作 | 可以操作 | |
建立執行個體 | 不可操作 | 可以操作 | |
建立執行個體 | 不可操作 | 可以操作 | |
修改執行個體的安全性群組 | 不可操作 | 可以操作 |
相關文檔
阿里雲Cloud Firewall(Cloud Firewall)是一款公用雲環境下的SaaS化防火牆,可統一管理南北向和東西向的流量,提供流量監控、精準存取控制、即時入侵防禦等功能,全面保護您的網路邊界。更多資訊,請參見什麼是Cloud Firewall。
NAT Gateway(NAT Gateway)是一種網路位址轉譯服務,提供NAT代理(SNAT和DNAT)能力。更多資訊,請參見什麼是NAT Gateway。