为了保障云产品的服务可用,并防止您误操作资源。当您使用需要创建安全组的云产品时,云产品系统将选择创建托管模式的安全组,即托管安全组。本文主要介绍托管安全组及相关权限。
背景信息
- 通过云产品控制台,您不能操作托管安全组,仅能在控制台界面查看托管安全组的相关信息。
- 通过OpenAPI访问托管安全组,您仅能调用查询接口。如果您调用操作安全组相关的接口,将提示您该安全组为云产品系统管理的安全组,您无法操作,即返回包含错误码
InvalidOperation.ResourceManagedByCloudProduct
的错误信息。具体权限,请参见托管安全组的OpenAPI权限说明。
您可以通过调用DescribeSecurityGroups接口,查看返回值参数ServiceManaged
和ServiceID
,确认相关的安全组是否为托管安全组。
托管安全组的OpenAPI权限说明
API | 操作 | 您的阿里云账号 | 创建托管安全的云产品系统 |
---|---|---|---|
AuthorizeSecurityGroup |
|
不可操作 | 可以操作 |
AuthorizeSecurityGroupEgress |
|
不可操作 | 可以操作 |
RevokeSecurityGroup | 删除安全组入方向规则 | 不可操作 | 可以操作 |
RevokeSecurityGroupEgress | 删除安全组出方向规则 | 不可操作 | 可以操作 |
JoinSecurityGroup | 加入安全组 | 不可操作 | 可以操作 |
LeaveSecurityGroup | 离开安全组 | 不可操作 | 可以操作 |
DeleteSecurityGroup | 删除安全组 | 不可操作 | 可以操作 |
ModifySecurityGroupAttribute | 修改安全组 | 不可操作 | 可以操作 |
ModifySecurityGroupRule | 修改安全组入方向规则描述 | 不可操作 | 可以操作 |
ModifySecurityGroupEgressRule | 修改安全组出方向规则描述 | 不可操作 | 可以操作 |
ModifySecurityGroupPolicy | 修改安全组策略 | 不可操作 | 可以操作 |
DescribeSecurityGroupAttribute | 查询安全组规则 | 可以操作 | 可以操作 |
DescribeSecurityGroups | 查询安全组列表 | 可以操作 | 可以操作 |
DescribeSecurityGroupReferences | 查询安全组和其他哪些安全组有安全组级别的授权行为 | 可以操作 | 可以操作 |
CreateNetworkInterface | 创建弹性网卡 | 不可操作 | 可以操作 |
ModifyNetworkInterfaceAttribute | 修改弹性网卡 | 不可操作 | 可以操作 |
RunInstances | 创建实例 | 不可操作 | 可以操作 |
CreateInstance | 创建实例 | 不可操作 | 可以操作 |
ModifyInstanceAttribute | 修改实例的安全组 | 不可操作 | 可以操作 |