全部产品
Search
文档中心

:容器计算服务默认角色

更新时间:Aug 21, 2024

开通容器计算服务时,您需要为服务账号授予系统默认角色,当且仅当该角色被正确授予后,容器计算服务才能正常地调用相关云资源(VPC、ENI、NAS、SLB等),创建集群以及保存日志等。本文介绍容器计算服务ACS默认角色包含的权限。

角色权限内容

容器计算服务ACS包含的默认角色说明如下表所示。

角色

角色说明

AliyunServiceRoleForAcc

该角色为服务关联角色,ACS在集群管控操作中使用该角色访问您在ACK、ECS、VPC、SLB、ARMS等服务的资源。

AliyunCCCSIPluginRole

ACS集群默认使用该角色访问您在云盘、NAS等存储服务的资源。

AliyunCCCCMServiceRole

ACS集群默认使用该角色来访问您在SLB、ALB等负载均衡服务的资源。

AliyunCCNECRole

ACS集群默认使用该角色来访问VPC、ECS等网络相关服务的资源,创建并使用EIP。

AliyunCCKubernetesAuditRole

ACS集群默认使用该角色访问SLS日志服务的资源,采集并展示K8s审计日志。

AliyunCCManagedLogRole

ACS集群默认使用该角色访问SLS日志服务的资源,采集并展示ACS 容器日志。

AliyunCCManagedArmsRole

ACS集群默认使用该角色访问Arms监控服务的资源,采集并展示ACS 容器各项资源指标,以及应用性能指标监控。

AliyunCCCISDefaultRole

ACS集群默认使用该角色访问ECS、ACK、VPC、SLB等云服务的资源,定期检查K8s及组件等健康状态。

AliyunCCManagedAcrRole

ACS集群默认使用该角色访问ACR容器镜像服务获取临时账号密码,用于启动ACS Pod实例。

AliyunCCForResourceProviderRole

ACS集群默认使用该角色在创建Pod时访问依赖云产品资源。

AliyunCCManagedVirtualNodeRole

ACS集群默认使用该角色在创建虚拟节点时访问依赖云产品资源。

AliyunCCManagedACSBrokerRole

ACS集群默认使用该角色在获取Pod运维信息时访问依赖云产品资源。

AliyunCSDefaultRole

ACS默认使用该角色对Kubernetes集群进行创建、删除、升级等操作。

AliyunServiceRoleForAcc

该角色为服务关联角色,ACS在集群管控操作中使用该角色访问您在ACK、ECS、VPC、SLB、ARMS等服务的资源。

ECS相关权限

权限名称(Action)

说明

ecs:CreateNetworkInterface

创建一个弹性网卡(ENI)。

ecs:DescribeNetworkInterfaces

查看弹性网卡(ENI)列表。

ecs:AttachNetworkInterface

附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。

ecs:DetachNetworkInterface

从一台ECS实例上分离一个弹性网卡(ENI)。

ecs:DeleteNetworkInterface

删除一个弹性网卡(ENI)。

ecs:DescribeInstanceAttribute

查询一台或多台ECS实例部分信息。

ecs:AssignPrivateIpAddresses

为一块弹性网卡分配一个或多个辅助私有IP地址。

ecs:UnassignPrivateIpAddresses

从一块弹性网卡删除一个或多个辅助私有IP地址。

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

ecs:DescribeInstanceTypes

查询云服务器ECS提供的所有实例规格的信息,也可以查询指定实例规格的信息。

ecs:AssignIpv6Addresses

为一块弹性网卡分配一个或多个IPv6 IP地址。

ecs:UnassignIpv6Addresses

为一块弹性网卡删除一个或多个IPv6 IP地址。

ecs:ModifyNetworkInterfaceAttribute

修改弹性网卡(ENI)信息。

ecs:CreateNetworkInterfacePermission

创建弹性网卡(ENI)权限。

ecs:DeleteNetworkInterfacePermission

删除弹性网卡(ENI)权限。

ecs:DescribeNetworkInterfacePermissions

查询弹性网卡(ENI)权限。

ecs:CreateSecurityGroup

新建一个安全组。

ecs:ModifySecurityGroupEgressRule

修改安全组出方向规则。

ecs:ModifySecurityGroupPolicy

修改普通安全组内网连通策略。

ecs:ModifySecurityGroupRule

修改安全组入方向规则。

ecs:DescribeSecurityGroups

查询您创建的安全组的基本信息。

ecs:RevokeSecurityGroup

撤销安全组规则。

ecs:RevokeSecurityGroupEgress

删除一条安全组出方向规则,撤销安全组出方向的访问权限。

ecs:DeleteSecurityGroup

删除一个安全组。

ecs:DescribeSecurityGroupAttribute

查询一个安全组的规则。

ecs:AuthorizeSecurityGroup

设置安全组入规则。

ecs:AuthorizeSecurityGroupEgress

设置安全组出规则。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVSwitches

查询已创建的交换机。

vpc:DescribeVpcs

查询已创建的VPC。

vpc:DescribeVpcAttribute

查询指定VPC的配置信息。

vpc:DescribeVSwitchAttributes

查询指定vSwitch的配置信息。

ACK相关权限

权限名称(Action)

说明

cs:CreateCluster

创建Kubernetes集群。

cs:CreateClusterByResourcesGroup

创建Kubernetes集群归属于一个资源组。

cs:DeleteCluster

删除Kubernetes集群。

cs:DescribeClusterDetail

查询一个Kubernetes集群的详情信息。

cs:DescribeClusterUserKubeconfig

查询一个Kubernetes集群一个用户的Kubeconfig。

cs:DescribeClusters

查询Kubernetes集群列表。

cs:DescribeClustersV1

查询Kubernetes集群列表。

cs:DescribeEvents

查询异常事件列表。

cs:DescribeTaskInfo

根据任务ID,查询该任务执行详情。

cs:GetClusters

查询Kubernetes集群列表。

cs:ListTagResources

根据集群ID,查询指定集群资源的标签。

cs:ModifyCluster

修改集群信息。

cs:ModifyClusterTags

修改集群标签。

cs:TagResources

为指定的集群绑定特定标签。

cs:UntagResources

为指定的集群解绑特定标签。

ARMS相关

权限名称(Action)

说明

arms:InstallManagedPrometheus

创建托管的Prometheus。

arms:UnInstallManagedPrometheus

删除托管的指定Prometheus实例。

arms:GetManagedPrometheusStatus

查询托管的指定Prometheus实例状态。

SLB相关

权限名称(Action)

说明

slb:AddBackendServers

添加后端服务器。

slb:RemoveBackendServers

删除后端服务器。

slb:DescribeLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

slb:SetLoadBalancerTCPListenerAttribute

修改TCP监听的配置。

slb:DescribeLoadBalancers

查询已创建的负载均衡实例。

AliyunCCCSIPluginRole

ACS集群默认使用该角色访问您在云盘、NAS等存储服务的资源。

EBS相关权限

权限名称(Action)

说明

ebs:CreateContainerDisk

创建一个云盘。

ebs:DescribeContainerDisks

查询云盘列表。

ebs:GetContainerDisk

查询单个云盘。

ebs:DeleteContainerDisk

删除一个云盘。

ECS相关权限

权限名称(Action)

说明

ecs:AttachDisk

挂载一个云盘。

ecs:DetachDisk

卸载一个云盘。

ecs:DescribeDisks

查询云盘列表。

ecs:CreateDisk

创建一个云盘。

ecs:DeleteDisk

删除一个云盘。

ecs:AddTags

为一个云盘添加标签。

ecs:RemoveTags

为一个云盘移除标签。

ecs:DescribeTags

查询可供使用的标签。

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

NAS相关权限

权限名称(Action)

说明

nas:CreateFileSystem

创建一个文件系统。

nas:CreateMountTarget

创建文件系统的挂载点。

nas:DeleteFileSystem

删除一个文件系统。

nas:DeleteMountTarget

删除文件系统的挂载点。

nas:DescribeFileSystems

查询文件系统信息。

nas:DescribeMountTargets

查询文件系统的挂载点。

nas:ModifyFileSystem

修改文件系统的描述信息。

nas:ModifyMountTarget

修改文件系统挂载点的描述信息。

nas:AddTags

为文件系统添加标签。

nas:DescribeTags

查询可供使用的标签。

nas:RemoveTags

为文件系统删除标签。

nas:EnableRecycleBin

开启回收站功能。

nas:GetRecycleBinAttribute

查询指定通用型NAS文件系统的回收站配置。

nas:SetDirQuota

设置文件系统的目录配额。

nas:DescribeDirQuotas

获取文件系统每个目录配额的详细信息。

AliyunCCCCMServiceRole

ACS集群默认使用该角色通过ACS CCM插件创建并使用SLB、ALB等负载均衡产品。

SLB相关权限

权限名称(Action)

说明

slb:AddBackendServers

添加后端服务器。

slb:AddTags

为指定的负载均衡实例添加标签。

slb:AddVServerGroupBackendServers

添加后端服务器。

slb:CreateLoadBalancer

创建负载均衡实例。

slb:CreateLoadBalancerHTTPListener

为负载均衡实例创建基于HTTP协议的监听。

slb:CreateLoadBalancerHTTPSListener

为负载均衡实例创建基于HTTPS协议的监听。

slb:CreateLoadBalancerTCPListener

为负载均衡实例创建基于TCP协议的监听规则。

slb:CreateLoadBalancerUDPListener

为负载均衡实例创建基于UDP协议的监听规则。

slb:CreateVServerGroup

添加后端服务器组并向指定的后端服务器组中添加后端服务器。

slb:DeleteLoadBalancer

删除后付费的负载均衡实例。

slb:DeleteLoadBalancerListener

删除负载均衡实例监听规则。

slb:DeleteVServerGroup

删除服务器组。

slb:DescribeLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

slb:DescribeLoadBalancerHTTPListenerAttribute

查询HTTP监听配置。

slb:DescribeLoadBalancerHTTPSListenerAttribute

查询HTTPS监听配置。

slb:DescribeLoadBalancerListeners

查询负载均衡监听列表详情。

slb:DescribeLoadBalancerTCPListenerAttribute

查询TCP监听配置。

slb:DescribeLoadBalancerUDPListenerAttribute

查询UDP监听配置。

slb:DescribeLoadBalancers

查询已创建的负载均衡实例。

slb:DescribeTags

查询可供使用的标签。

slb:DescribeVServerGroupAttribute

查询服务器组的详细信息。

slb:DescribeVServerGroups

查询服务器组列表。

slb:ModifyLoadBalancerInstanceSpec

修改负载均衡的实例规格。

slb:ModifyLoadBalancerInternetSpec

修改公网负载均衡实例的计费方式。

slb:ModifyVServerGroupBackendServers

替换服务器组中的后端服务器。

slb:RemoveBackendServers

移除后端服务器。

slb:RemoveTags

解绑指定负载均衡实例下的标签。

slb:RemoveVServerGroupBackendServers

从指定的后端服务器组中移除后端服务器。

slb:SetLoadBalancerDeleteProtection

设置实例删除保护状态。

slb:SetLoadBalancerHTTPListenerAttribute

修改HTTP协议监听的配置。

slb:SetLoadBalancerHTTPSListenerAttribute

修改HTTPS协议监听的配置。

slb:SetLoadBalancerModificationProtection

设置负载均衡实例修改保护状态。

slb:SetLoadBalancerName

修改负载均衡实例的名称。

slb:SetLoadBalancerTCPListenerAttribute

修改TCP协议监听的配置。

slb:SetLoadBalancerUDPListenerAttribute

修改UDP协议监听的配置。

slb:SetVServerGroupAttribute

修改虚拟服务器组的配置。

slb:StartLoadBalancerListener

启动监听。

slb:StopLoadBalancerListener

停止监听。

ALB相关权限

权限名称(Action)

说明

alb:AddServersToServerGroup

向服务器组中添加后端服务器。

alb:AssociateAdditionalCertificatesWithListener

将扩展证书关联到监听。

alb:CreateListener

在指定地域创建HTTP、HTTPS或QUIC监听。

alb:CreateLoadBalancer

在指定地域创建应用型负载均衡实例。

alb:CreateRule

在指定监听下创建转发规则。

alb:CreateRules

创建多条转发规则。

alb:CreateServerGroup

在指定地域创建服务器组。

alb:DeleteListener

删除指定的监听。

alb:DeleteLoadBalancer

删除指定的负载均衡实例。

alb:DeleteRule

删除指定的转发规则。

alb:DeleteRules

批量删除同一监听下的转发规则。

alb:DeleteServerGroup

删除指定的服务器组。

alb:DescribeZones

查询指定地域的可用区。

alb:DisableDeletionProtection

关闭指定负载均衡实例的删除保护。

alb:DisableLoadBalancerAccessLog

关闭指定负载均衡实例的访问日志。

alb:DissociateAdditionalCertificatesFromListener

将扩展证书从监听上解除关联。

alb:EnableDeletionProtection

开启指定资源的删除保护。

alb:EnableLoadBalancerAccessLog

开启指定负载均衡实例的访问日志。

alb:GetListenerAttribute

查询监听的详细信息。

alb:GetLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

alb:ListListenerCertificates

查询指定监听关联的证书,包含扩展证书和默认证书。

alb:ListListeners

查询指定地域的监听。

alb:ListLoadBalancers

查询指定地域的负载均衡。

alb:ListRules

查询指定地域的转发规则。

alb:ListServerGroupServers

查询服务器组中的服务器。

alb:ListServerGroups

查询指定地域的服务器组。

alb:RemoveServersFromServerGroup

从服务器组中移除后端服务器。

alb:ReplaceServersInServerGroup

替换后端服务器组中的后端服务器。

alb:TagResources

给指定资源添加标签。

alb:UnTagResources

删除资源上配置的标签。

alb:UpdateListenerAttribute

更新监听的配置,如名称、默认动作等。

alb:UpdateLoadBalancerAttribute

更新负载均衡实例属性,如名称、修改保护等。

alb:UpdateLoadBalancerEdition

变更当前负载均衡版本。

alb:UpdateRuleAttribute

更新转发规则属性,如条件、动作、名称等。

alb:UpdateRulesAttribute

批量更新转发规则属性。

alb:UpdateServerGroupAttribute

更新服务器组的配置,例如健康检查、会话保持、名称、调度算法和协议等。

alb:DescribeZones

查询指定地域的可用区。

alb:CreateAcl

在指定地域创建访问控制。

alb:DeleteAcl

删除指定的访问控制。

alb:ListAcls

查询某一个地域的访问控制列表。

alb:AddEntriesToAcl

向访问控制策略组中添加IP条目。

alb:AssociateAclsWithListener

将访问控制关联到监听。

alb:ListAclEntries

查询指定访问控制的条目。

alb:RemoveEntriesFromAcl

从访问控制中移除条目。

alb:DissociateAclsFromListener

将访问控制从监听上解除关联。

alb:EnableLoadBalancerIpv6Internet

将双栈应用型负载均衡实例的IPv6私网变更为IPv6公网。

alb:DisableLoadBalancerIpv6Internet

将双栈应用型负载均衡实例的IPv6公网变更为IPv6私网。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeNetworkInterfaces

查询一个或多个弹性网卡(ENI)的详细信息。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVSwitches

查询可组网的信息,内网按vSwitch进行组网。

vpc:DescribeVpcs

查询已创建的VPC。

RAM相关权限

权限名称(Action)

说明

ram:CreateServiceLinkedRole

创建新服务关联角色。

AliyunCCNECRole

ACS集群默认使用该角色来访问VPC、ECS等网络相关服务的资源,创建并使用EIP。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVSwitches

查询可组网的信息,内网按vSwitch进行组网。

vpc:AllocateEipAddress

申请弹性公网IP(Elastic IP Address,简称EIP)。

vpc:AllocateEipAddressPro

申请指定的弹性公网IP(Elastic IP Address,简称EIP)。

vpc:DescribeEipAddresses

查询指定地域已创建的EIP。

vpc:AssociateEipAddress

将弹性公网IP(EIP)绑定到同地域的云产品实例上。

vpc:UnassociateEipAddress

将弹性公网IP(EIP)从绑定的云产品上解绑。

vpc:ReleaseEipAddress

释放指定的弹性公网IP(EIP)。

vpc:ModifyEipAddressAttribute

修改指定EIP的名称、描述信息和带宽峰值。

vpc:AddCommonBandwidthPackageIp

添加EIP到共享带宽中。

vpc:RemoveCommonBandwidthPackageIp

移除共享带宽实例中的EIP。

vpc:TagResources

为指定的资源统一创建并绑定标签。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeNetworkInterfaces

查询一个或多个弹性网卡(ENI)的详细信息。

AliyunCCKubernetesAuditRole

ACS集群默认使用该角色访问SLS日志服务的资源,采集并展示K8s审计日志。

权限名称(Action)

说明

log:CreateProject

创建一个Project。

log:GetProject

根据Project名称查询Project。

log:DeleteProject

删除一个指定的Project。

log:CreateLogStore

在Project下创建Logstore。

log:GetLogStore

查看Logstore属性。

log:UpdateLogStore

更新Logstore的属性。

log:DeleteLogStore

删除Logstore。

log:CreateConfig

创建日志采集配置。

log:UpdateConfig

更新配置内容。

log:GetConfig

获取采集配置的详细信息。

log:DeleteConfig

删除指定的日志采集配置。

log:CreateMachineGroup

根据需求创建一组机器,用以日志收集下发配置。

log:UpdateMachineGroup

更新机器组信息。

log:GetMachineGroup

查看具体的MachineGroup信息。

log:DeleteMachineGroup

删除机器组。

log:ApplyConfigToGroup

将配置应用到机器组。

log:GetAppliedMachineGroups

获得机器组上已经被应用的机器列表。

log:GetAppliedConfigs

获得机器组上已经被应用的配置名称。

log:RemoveConfigFromMachineGroup

从机器组中删除配置。

log:CreateIndex

为指定Logstore创建索引。

log:GetIndex

查询指定Logstore的索引。

log:UpdateIndex

更新指定Logstore的索引。

log:DeleteIndex

删除指定Logstore的索引。

log:CreateSavedSearch

创建快速查询。

log:GetSavedSearch

查看指定快速查询。

log:UpdateSavedSearch

更新快速查询。

log:DeleteSavedSearch

删除快速查询。

log:CreateDashboard

创建仪表盘。

log:GetDashboard

查看指定仪表盘。

log:UpdateDashboard

更新仪表盘。

log:DeleteDashboard

删除仪表盘。

log:CreateJob

创建任务。例如创建告警、订阅。

log:GetJob

查询任务。

log:DeleteJob

删除任务。

log:UpdateJob

更新任务。

log:PostLogStoreLogs

向指定的Logstore写入日志数据。

AliyunCCManagedLogRole

ACS集群默认使用该角色通过SLS日志服务组件,采集并展示K8s审计日志。

SLS相关权限

权限名称(Action)

说明

log:CreateProject

创建一个Project。

log:GetProject

根据Project名称查询Project。

log:DeleteProject

删除一个指定的Project。

log:CreateLogStore

在Project下创建Logstore。

log:GetLogStore

查看Logstore属性。

log:UpdateLogStore

更新Logstore的属性。

log:DeleteLogStore

删除Logstore。

log:CreateConfig

创建日志采集配置。

log:UpdateConfig

更新配置内容。

log:GetConfig

获取采集配置的详细信息。

log:DeleteConfig

删除指定的日志采集配置。

log:CreateMachineGroup

根据需求创建一组机器,用以日志收集下发配置。

log:UpdateMachineGroup

更新机器组信息。

log:GetMachineGroup

查看具体的MachineGroup信息。

log:DeleteMachineGroup

删除机器组。

log:ApplyConfigToGroup

将配置应用到机器组。

log:GetAppliedMachineGroups

获得机器组上已经被应用的机器列表。

log:GetAppliedConfigs

获得机器组上已经被应用的配置名称。

log:RemoveConfigFromMachineGroup

从机器组中删除配置。

log:CreateIndex

为指定Logstore创建索引。

log:GetIndex

查询指定Logstore的索引。

log:UpdateIndex

更新指定Logstore的索引。

log:DeleteIndex

删除指定Logstore的索引。

log:CreateSavedSearch

创建快速查询。

log:GetSavedSearch

查看指定快速查询。

log:UpdateSavedSearch

更新快速查询。

log:DeleteSavedSearch

删除快速查询。

log:CreateDashboard

创建仪表盘。

log:GetDashboard

查看指定仪表盘。

log:UpdateDashboard

更新仪表盘。

log:DeleteDashboard

删除仪表盘。

log:CreateJob

创建任务。例如创建告警、订阅。

log:GetJob

查询任务。

log:DeleteJob

删除任务。

log:UpdateJob

更新任务。

log:PostLogStoreLogs

向指定的Logstore写入日志数据。

log:CreateSortedSubStore

创建排序子存储。

log:GetSortedSubStore

获取排序子存储。

log:ListSortedSubStore

列举排序子存储。

log:UpdateSortedSubStore

更新排序子存储。

log:DeleteSortedSubStore

删除排序子存储。

log:CreateApp

日志服务APP(成本管家、日志审计)的创建权限。

log:UpdateApp

日志服务APP(成本管家、日志审计)的更新权限。

log:GetApp

日志服务APP(成本管家、日志审计)的查看权限。

log:DeleteApp

日志服务APP(成本管家、日志审计)的删除权限。

cs:DescribeTemplates

获取容器模板。

cs:DescribeTemplateAttribute

获取容器模板属性。

ACK相关权限

权限名称(Action)

说明

cs:UpdateContactGroup

更新报警项联系人分组。

cs:DescribeTemplates

查询所有编排模板。

cs:DescribeTemplateAttribute

查询编排模板详情。

AliyunCCManagedArmsRole

ACS集群默认使用该角色访问Arms监控服务的资源,采集并展示ACS 容器各项资源指标,以及应用性能指标监控。

ARMS相关权限

权限名称(Action)

说明

arms:CreateApp

创建应用监控。

arms:DeleteApp

删除应用监控。

arms:ConfigAgentLabel

修改应用监控Agent的标签。

arms:GetAssumeRoleCredentials

获取应用监控角色扮演密钥凭证。

arms:CreateProm

创建阿里云Prometheus监控。

arms:SearchEvents

查询报警事件记录。

arms:SearchAlarmHistories

查询告警历史发送记录。

arms:SearchAlertRules

查询监控告警规则。

arms:GetAlertRules

获取监控告警规则。

arms:CreateAlertRules

创建监控告警规则。

arms:UpdateAlertRules

更新监控告警规则。

arms:StartAlertRule

启动监控告警规则。

arms:StopAlertRule

停止监控告警规则。

arms:CreateContact

创建告警联系人。

arms:SearchContact

查询告警联系人。

arms:UpdateContact

更新告警联系人。

arms:CreateContactGroup

创建告警联系人分组。

arms:SearchContactGroup

查询告警联系人分组。

arms:UpdateContactGroup

更新告警联系人分组。

xtrace相关权限

权限名称(Action)

说明

xtrace:GetToken

AliyunCCCISDefaultRole

ACS集群默认使用该角色访问ECS、ACK、VPC、SLB等云服务的资源,定期检查K8s及组件等健康状态。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

ecs:DescribeInstanceStatus

获取多台ECS实例的状态信息。

ecs:DescribeInstanceTypes

查询云服务器ECS提供的所有实例规格的信息,也可以查询指定实例规格的信息。

ecs:DescribeInstanceTypeFamilies

查询云服务器ECS提供的实例规格族列表。

ecs:DescribeInstanceAttribute

查询单个ECS实例详情。

ecs:DescribeDiagnosticReports

查询资源诊断报告列表。

ecs:DescribeDiagnosticReportAttributes

查询资源诊断详情。

ecs:DescribeDiagnosticMetricSets

查询资源诊断集合列表。

ecs:DescribeDiagnosticMetrics

查询诊断指标列表。

ecs:DescribeSecurityGroupAttribute

查询一个安全组的安全组规则。

ecs:DescribeSecurityGroups

查询您创建的安全组的基本信息。

ecs:DescribeSecurityGroupReferences

查询一个安全组和其他哪些安全组有安全组级别的授权行为。

ecs:DescribeBandwidthLimitation

查询不同实例规格可以购买、升级或降配的公网带宽上限。

ecs:DescribeCloudAssistantStatus

查询一台或者多台实例是否安装了云助手Agent。如果已安装了云助手,还将查询云助手命令执行的总数量、正在执行的数量以及最近一次命令执行的时间。

ecs:DescribeCommands

查询您手动创建的云助手命令或者阿里云提供的公共命令。

ecs:DescribeInvocationResults

查看一条或多条云助手命令的执行结果,即在ECS实例中的实际执行结果。

ecs:CreateCommand

新建一条云助手命令。

ecs:InvokeCommand

为一台或多台ECS实例触发一条云助手命令。

ecs:StopInvocation

停止一台或多台ECS实例中一条正在进行中(Running)的云助手命令进程。

ecs:CreateDiagnosticReport

创建资源诊断报告。根据您传入诊断指标集合ID,生成多个诊断指标的诊断报告。

ecs:DescribeNetworkInterfaces

查询一个或多个弹性网卡(ENI)的详细信息。

ecs:RunCommand

在一台或多台ECS实例中执行一段Shell、PowerShell或者Bat类型的脚本。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVpcs

查询已创建的VPC。

vpc:DescribeVpcAttribute

查询指定VPC的配置信息。

vpc:DescribeVSwitches

查询可组网的信息,内网按vSwitch进行组网。

vpc:DescribeVSwitchAttributes

查询指定交换机的配置信息。

vpc:DescribeRouteTableList

查询路由表列表。

vpc:DescribeRouteEntryList

查询路由条目列表。

vpc:DescribeNatGateways

以列表形式查询指定地域指定条件NAT网关的详细信息。

vpc:DescribeRouteTables

查询路由表。

vpc:DescribeSnatTableEntries

查询网络ACL的详细信息。

vpc:DescribeNetworkAcls

查看网络ACL列表。

vpc:DescribeNetworkAclAttributes

查询网络ACL的详细信息。

vpc:DescribeEipAddresses

查询指定地域已创建的EIP。

SLB相关权限

权限名称(Action)

说明

slb:DescribeLoadBalancers

查询已创建的负载均衡实例。

slb:DescribeLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

slb:DescribeVServerGroups

查询服务器组列表。

slb:DescribeVServerGroupAttribute

查询服务器组的详细信息。

slb:DescribeLoadBalancerTCPListenerAttribute

查询TCP监听配置。

slb:DescribeLoadBalancerUDPListenerAttribute

查询UDP监听配置。

slb:DescribeAccessControlLists

查询已创建的访问控制策略组。

slb:DescribeAccessControlListAttribute

查询访问控制策略组的配置。

slb:DescribeLoadBalancerListeners

查询负载均衡监听列表详情。

slb:DescribeHealthStatus

查询后端服务器的健康状态。

SLS相关权限

权限名称(Action)

说明

sls:GetLogStore

查看Logstore的详细信息。

应用诊断分析平台相关权限

权限名称(Action)

说明

grace:GetFile

获取文件信息。

grace:AnalyzeFile

分析文件。

grace:UploadFileByOSS

通过OSS上传文件。

grace:UploadFileByURL

通过URL上传文件。

云监控相关权限

权限名称(Action)

说明

cms:DescribeMetricData

查询指定云产品的某个监控项的监控数据。

cms:DescribeMetricLast

查询指定监控项的最新监控数据。

cms:DescribeMetricMetaList

查询云监控开放的监控项详情。

cms:DescribeMetricTop

先查询指定云产品的指定监控项的最新监控数据,再查询该监控项排序后的监控数据。

cms:QueryMetricMeta

查询云监控开放的时序类监控项的监控项描述。

cms:QueryMetricTop

查询Top指标。

cms:ListMetricMeta

列出数据源指标。

cms:QueryMetricData

查询指定时间段内的云产品时序指标监控数据。

cms:QueryMetricLast

查询指定监控对象的最新监控数据。

cms:DescribeMetricList

查询指定云产品的指定监控项的监控数据。

cms:QueryMetricList

查询一段时间内指定产品实例的监控数据。

cms:DescribeAlertLogList

查询最近一年的报警历史。

cms:DescribeSystemEventAttribute

查询系统事件详情。

ACK相关权限

权限名称(Action)

说明

cs:DescribeClusterDetail

根据集群ID查询该集群的详情。

cs:DescribeClusterResources

根据集群ID查询该集群的所有资源。

cs:DescribeTaskInfo

根据任务ID,查询该任务执行详情。

cs:DescribeClusterAddonsUpgradeStatus

根据组件名称查询该组件升级状态。

资源配额相关权限

权限名称(Action)

说明

quotas:ListProducts

查询配额中心已支持的云服务列表。

quotas:ListProductQuotas

查询目标云服务的配额列表。

quotas:ListProductQuotaDimensions

查询目标云服务支持的配额维度。

quotas:GetProductQuota

查询目标配额详情。

quotas:GetProductQuotaDimension

查询目标云服务支持的配额维度详情。

RAM相关权限

权限名称(Action)

说明

ram:CreateServiceLinkedRole

创建新服务关联角色。

AliyunCCManagedAcrRole

ACS集群默认使用该角色访问ACR容器镜像服务获取临时账号密码,用于启动ACS Pod实例。

CR相关权限

权限名称(Action)

说明

cr:GetAuthorizationToken

获取用于登录实例的临时账号和临时密码。

cr:ListInstanceEndpoint

查询实例网络访问入口列表。

AliyunCCForResourceProviderRole

ACS集群默认使用该角色在创建Pod时访问依赖云产品资源。

ECS相关权限

权限名称(Action)

说明

ecs:CreateNetworkInterfacePermission

创建弹性网卡(ENI)权限。

ecs:DeleteNetworkInterfacePermission

删除弹性网卡(ENI)权限。

ecs:CreateNetworkInterface

创建一个弹性网卡(ENI)。

ecs:DeleteNetworkInterface

删除一个弹性网卡(ENI)。

ecs:DescribeSecurityGroups

查询安全组的基本信息。

ecs:DescribeNetworkInterfaces

查看弹性网卡(ENI)列表。

ecs:CreateDisk

创建一个云盘。

ecs:DescribeDisks

查询云盘列表。

ecs:AttachDisk

挂载一个云盘。

ecs:DetachDisk

卸载一个云盘。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVSwitches

查询已创建的交换机。

vpc:DescribeVpcs

查询已创建的VPC。

vpc:AllocateEipAddress

申请弹性公网IP(Elastic IP Address,简称EIP)。

vpc:AssociateEipAddress

将弹性公网IP(EIP)绑定到同地域的云产品实例上。

vpc:UnassociateEipAddress

将弹性公网IP(EIP)从绑定的云产品上解绑。

vpc:ReleaseEipAddress

释放指定的弹性公网IP(EIP)。

AliyunCCManagedVirtualNodeRole

ACS集群默认使用该角色在创建虚拟节点时访问依赖云产品资源。

PVTZ相关权限

权限名称(Action)

说明

pvtz:AddZone

添加zone。

pvtz:DeleteZone

删除zone。

pvtz:DescribeZones

获取zone列表。

pvtz:BindZoneVpc

zone关联VPC。

pvtz:AddZoneRecord

添加解析记录。

pvtz:DeleteZoneRecord

删除解析记录。

pvtz:DescribeZoneRecords

查询解析记录列表。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVSwitches

查询已创建的交换机。

AliyunCSDefaultRole

该角色为容器服务产品(ACK)的服务角色,ACS默认使用该角色对Kubernetes集群进行创建、删除、升级等操作。

关于该服务角色详情请见:AliyunCSDefaultRole