RAM用户调用云监控API前,需要所属的阿里云账号将权限策略授予对应的RAM用户。
资源(Resource)
云监控只支持操作级别的鉴权,不支持资源级别的鉴权。Resource用*
表示。
操作(Action)
云监控的Action包括云监控自身的Action和云监控关联云服务实例的Action。因为云监控的监控数据从云监控关联云服务的资源中获得,所以这两部分授权缺一不可。如果缺少云监控关联云服务实例的Action,会导致无权限查看实例列表,进而不能查看实例的监控数据,并设置报警。
如果没有特殊需求,建议您使用访问控制(RAM)提供的默认系统策略:管理云监控的权限(AliyunCloudMonitorFullAccess)和只读访问云监控的权限(AliyunCloudMonitorReadOnlyAccess)。这两个系统策略中包含了云监控数据读取和管理权限,以及云监控关联云服务实例读取的权限。
如果系统策略不能满足您的需求,您可以自定义权限策略。自定义权限策略格式为通配符标识前缀*
,例如:cms:Describe*
。
管理云监控权限的Action为
cms:*
。只读访问云监控权限的Action如下:
cms:Get*
cms:List*
cms:Query*
cms:BatchQuery*
cms:Describe*
cms:Cursor
cms:BatchGet
cms:BatchExport
查询云监控关联云服务实例列表的Action如下表所示。
说明由于接入云监控的云服务逐步增加,下表仅列举了主要云服务的Action。
云服务名称
Action
云服务器ECS
ecs:DescribeInstances
云数据库RDS
rds:DescribeDBInstances
rds:DescribeReplicas
负载均衡SLB
DescribeLoadBalancer*
专有网络VPC
vpc:DescribeEipAddresses
vpc:DescribeRouterInterfaces
vpc:DescribeGlobalAccelerationInstances
vpc:DescribeVpnGateways
vpc:DescribeNatGateways
vpc:DescribeBandwidthPackages
vpc:DescribeCommonBandwidthPackages
对象存储OSS
oss:ListBuckets
日志服务SLS
log:ListProject
CDN
cdn:DescribeUserDomains
轻量消息队列(原 MNS)
mns:ListQueue
mns:ListTopic
弹性伸缩ESS
ess:DescribeScalingGroups
云数据库Memcache版
ocs:DescribeInstances
云数据库 Tair(兼容 Redis)
kvstore:DescribeInstances
kvstore:DescribeLogicInstanceTopology
云数据库HBase版
hbase:DescribeClusterList
时间序列数据库TSDB
hitsdb:DescribeHiTSDBInstanceList
HybridDB for MySQL
petadata:DescribeInstances
petadata:DescribeDatabases
云原生数据仓库 AnalyticDB PostgreSQL版
gpdb:DescribeDBInstances
E-MapReduce
emr:ListClusters
开放搜索
opensearch:ListApps
阿里云Elasticsearch
elasticsearch:ListInstance
云数据库MongoDB版
mongodb:DescribeDBInstances
NAT网关
netgateway:DescribeNatGateways
DDoS高防
ddos:DescribeInstancePage
云企业网CEN
cen:DescribeCens
cen:DescribeCenAttachedChildInstances
消息队列Kafka版
kafka:GetKafkaInstanceList
SCDN
scdn:DescribeScdnUserDomains
全站加速
dcdn:DescribeDcdnUserDomains
云数据库PolarDB
polardb:DescribeDBInstances
如果您仅需要对个别API授权,大多数API的Action格式为
cms:{API名称}
,例如:只授权调用CreateMonitorGroupNotifyPolicy,Action为cms:CreateMonitorGroupNotifyPolicy
。少数API的Action不符合上述规则,具体如下表所示。API
Action
CreateHybridMonitorNamespace
cms:CreateCustomNamespace
DeleteHybridMonitorNamespace
cms:DeleteCustomNamespace
PutCustomEvent
cms:PutEvent
DescribeMetricTop
cms:QueryMetricTop
DescribeMetricList
cms:QueryMetricList
DescribeMetricLast
cms:QueryMetricLast
DescribeMetricData
cms:QueryMetricData
DescribeMetricEventList
cms:QueryEvent