全部产品
Search
文档中心

:RAM鉴权

更新时间:Nov 19, 2024

RAM用户调用云监控API前,需要所属的阿里云账号将权限策略授予对应的RAM用户。

资源(Resource)

云监控只支持操作级别的鉴权,不支持资源级别的鉴权。Resource用*表示。

操作(Action)

云监控的Action包括云监控自身的Action和云监控关联云服务实例的Action。因为云监控的监控数据从云监控关联云服务的资源中获得,所以这两部分授权缺一不可。如果缺少云监控关联云服务实例的Action,会导致无权限查看实例列表,进而不能查看实例的监控数据,并设置报警。

如果没有特殊需求,建议您使用访问控制(RAM)提供的默认系统策略:管理云监控的权限(AliyunCloudMonitorFullAccess)和只读访问云监控的权限(AliyunCloudMonitorReadOnlyAccess)。这两个系统策略中包含了云监控数据读取和管理权限,以及云监控关联云服务实例读取的权限。

如果系统策略不能满足您的需求,您可以自定义权限策略。自定义权限策略格式为通配符标识前缀*,例如:cms:Describe*

  • 管理云监控权限的Action为cms:*

  • 只读访问云监控权限的Action如下:

    • cms:Get*

    • cms:List*

    • cms:Query*

    • cms:BatchQuery*

    • cms:Describe*

    • cms:Cursor

    • cms:BatchGet

    • cms:BatchExport

  • 查询云监控关联云服务实例列表的Action如下表所示。

    说明

    由于接入云监控的云服务逐步增加,下表仅列举了主要云服务的Action。

    云服务名称

    Action

    云服务器ECS

    ecs:DescribeInstances

    云数据库RDS

    rds:DescribeDBInstances

    rds:DescribeReplicas

    负载均衡SLB

    DescribeLoadBalancer*

    专有网络VPC

    vpc:DescribeEipAddresses

    vpc:DescribeRouterInterfaces

    vpc:DescribeGlobalAccelerationInstances

    vpc:DescribeVpnGateways

    vpc:DescribeNatGateways

    vpc:DescribeBandwidthPackages

    vpc:DescribeCommonBandwidthPackages

    对象存储OSS

    oss:ListBuckets

    日志服务SLS

    log:ListProject

    CDN

    cdn:DescribeUserDomains

    轻量消息队列(原 MNS)

    mns:ListQueue

    mns:ListTopic

    弹性伸缩ESS

    ess:DescribeScalingGroups

    云数据库Memcache版

    ocs:DescribeInstances

    云数据库 Tair(兼容 Redis)

    kvstore:DescribeInstances

    kvstore:DescribeLogicInstanceTopology

    云数据库HBase版

    hbase:DescribeClusterList

    时间序列数据库TSDB

    hitsdb:DescribeHiTSDBInstanceList

    HybridDB for MySQL

    petadata:DescribeInstances

    petadata:DescribeDatabases

    云原生数据仓库 AnalyticDB PostgreSQL版

    gpdb:DescribeDBInstances

    E-MapReduce

    emr:ListClusters

    开放搜索

    opensearch:ListApps

    阿里云Elasticsearch

    elasticsearch:ListInstance

    云数据库MongoDB版

    mongodb:DescribeDBInstances

    NAT网关

    netgateway:DescribeNatGateways

    DDoS高防

    ddos:DescribeInstancePage

    云企业网CEN

    cen:DescribeCens

    cen:DescribeCenAttachedChildInstances

    消息队列Kafka版

    kafka:GetKafkaInstanceList

    SCDN

    scdn:DescribeScdnUserDomains

    全站加速

    dcdn:DescribeDcdnUserDomains

    云数据库PolarDB

    polardb:DescribeDBInstances

  • 如果您仅需要对个别API授权,大多数API的Action格式为cms:{API名称},例如:只授权调用CreateMonitorGroupNotifyPolicy,Action为cms:CreateMonitorGroupNotifyPolicy。少数API的Action不符合上述规则,具体如下表所示。

    API

    Action

    CreateHybridMonitorNamespace

    cms:CreateCustomNamespace

    DeleteHybridMonitorNamespace

    cms:DeleteCustomNamespace

    PutCustomEvent

    cms:PutEvent

    DescribeMetricTop

    cms:QueryMetricTop

    DescribeMetricList

    cms:QueryMetricList

    DescribeMetricLast

    cms:QueryMetricLast

    DescribeMetricData

    cms:QueryMetricData

    DescribeMetricEventList

    cms:QueryEvent