当使用需要创建安全组的云产品时,为了保障云产品的服务可用性,云产品系统将选择创建托管模式的安全组,即托管安全组。在多用户、多团队共享云资源的环境中,托管安全组能够有效防止用户误操作导致的故障或安全风险,从而提高云产品整体的稳定性和安全性。本文主要介绍托管安全组的概念,以及相关OpenAPI权限的说明,帮助您更好地理解和管理托管安全组。
背景信息
在托管模式下,安全组被称为托管安全组。这种模式旨在解决部分云产品(例如:云防火墙、NAT网关等)的安全组操作权限控制问题。托管安全组由云产品系统进行管理,您只拥有查看权限,没有操作权限。详细说明如下:
创建托管安全组的方式是阿里云云产品通过阿里云临时安全令牌(Security Token Service,STS)授权您的账号的RAM角色自动进行的。关于STS的更多信息,请参见什么是STS。
通过云产品控制台:您不能操作托管安全组,仅能在控制台界面查看托管安全组的相关信息。
通过OpenAPI访问托管安全组:您仅能调用查询接口。如果您调用操作安全组相关的接口,将提示您该安全组为云产品系统管理的安全组,您无法操作,即返回包含错误码
InvalidOperation.ResourceManagedByCloudProduct的错误信息。具体权限,请参见托管安全组的OpenAPI权限说明。
您可以通过调用DescribeSecurityGroups接口,查看返回值参数ServiceManaged和ServiceID,确认相关的安全组是否为托管安全组。
托管安全组的OpenAPI权限说明
API | 操作 | 您的阿里云账号 | 创建托管安全的云产品系统 |
| 不可操作 | 可以操作 | |
| 不可操作 | 可以操作 | |
删除安全组入方向规则 | 不可操作 | 可以操作 | |
删除安全组出方向规则 | 不可操作 | 可以操作 | |
加入安全组 | 不可操作 | 可以操作 | |
离开安全组 | 不可操作 | 可以操作 | |
删除安全组 | 不可操作 | 可以操作 | |
修改安全组 | 不可操作 | 可以操作 | |
修改安全组入方向规则描述 | 不可操作 | 可以操作 | |
修改安全组出方向规则描述 | 不可操作 | 可以操作 | |
修改安全组策略 | 不可操作 | 可以操作 | |
查询安全组规则 | 可以操作 | 可以操作 | |
查询安全组列表 | 可以操作 | 可以操作 | |
查询安全组和其他哪些安全组有安全组级别的授权行为 | 可以操作 | 可以操作 | |
创建弹性网卡 | 不可操作 | 可以操作 | |
修改弹性网卡 | 不可操作 | 可以操作 | |
创建实例 | 不可操作 | 可以操作 | |
创建实例 | 不可操作 | 可以操作 | |
修改实例的安全组 | 不可操作 | 可以操作 |