全局流量管理(GTM)提供具体的 API 鉴权规则说明,主要是应用于系统策略不能满足使用的,客户需要设置自定义权限策略。
授权粒度说明
- 服务级别(service):将全局流量管理(GTM)作为一个整体进行授权。全局流量管理(GTM)作为云解析DNS的子产品,可以复用云解析DNS提供的系统权限策略“AliyunDNSFullAccess”、“AliyunDNSReadyOnlyAccess”就均属于服务级别的整体授权。
- 操作级别(Action):是通过全局流量管理(GTM)OPEN API级别进行授权。一个RAM用户可以对全局流量管理(GTM)的某类资源执行某几个指定的操作。
- 资源级别(Resource):对执行资源的指定操作进行授权,例如全局流量管理(GTM)的可授权的DNS资源类别为instance。
DNS资源类型说明
目前,可以在 RAM 中进行授权的资源类型及描述方式如下表所示:
资源类型 | 授权策略中的资源描述方式 | 描述方式 |
---|---|---|
instance | acs:alidns::{#accountId}:gtminstance/* | 授权子账号管理GTM实例,例如获取实例列表,获取实例详情等。 |
acs:alidns::{#accountId}:gtminstance/{#instanceId} |
{
"Version": "1",
"Statement": [
{
"Action": "alidns:*",
"Resource": "acs:alidns::*:gtminstance/gtm-cn-o40187ifd01",
"Effect": "Allow"
},
{
"Action" : [
"alidns:DescribeGtmInstances",
"alidns:DescribeGtmInstanceStatus",
"alidns:DescribeGtmAvailableAlertGroup",
"alidns:DescribeGtmMonitorAvailableConfig",
"alidns:GetMainDomainName",
"alidns:CheckDomainRecord"
],
"Resource": "acs:alidns::*:*",
"Effect": "Allow"
}
]
}
API鉴权规则
Action | 描述 | 鉴权规则 |
---|---|---|
AddGtmAddressPool | 新增地址池 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmInstanceAddressPool | 获取地址池详细信息 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmInstanceAddressPools | 获取实例地址池列表 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
UpdateGtmAddressPool | 修改地址池 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
UpdateGtmAddressPool | 修改地址池 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DeleteGtmAddressPool | 删除地址池 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmInstances | 获取实例列表 | acs:alidns::{#accountId}:gtminstance/* |
DescribeGtmInstance | 获取实例详情 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmInstanceStatus | 获取实例当前状态 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmInstanceSystemCname | 获取系统分配的cname域名 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmAvailableAlertGroup | 获取实例可用报警组列表 | acs:alidns::{#accountId}:gtminstance/* |
UpdateGtmInstanceGlobalConfig | 修改实例配置 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
AddGtmAccessStrategy | 新增访问策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
UpdateGtmAccessStrategy | 修改访问策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DeleteGtmAccessStrategy | 删除访问策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
SetGtmAccessMode | 修改生效地址池切换策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmAccessStrategy | 获取访问策略详细信息 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmAccessStrategyAvailableConfig | 获取访问策略可设置配置 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
AddGtmMonitor | 添加健康检查 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
UpdateGtmMonitor | 修改健康检查 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
SetGtmMonitorStatus | 开启或关闭健康检查 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmMonitorConfig | 获取地址池健康检查配置 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeGtmMonitorAvailableConfig | 获取健康检查可设置的配置 | acs:alidns::{#accountId}:gtminstance/* |
AddGtmRecoveryPlan | 新增容灾预案 | acs:alidns::{#accountId}:gtminstance/* |
PreviewGtmRecoveryPlan | 预览容灾预案 | acs:alidns::{#accountId}:gtminstance/* |
ExecuteGtmRecoveryPlan | 执行容灾预案 | acs:alidns::{#accountId}:gtminstance/* |
UpdateGtmRecoveryPlan | 修改容灾预案 | acs:alidns::{#accountId}:gtminstance/* |
RollbackGtmRecoveryPlan | 回滚容灾预案 | acs:alidns::{#accountId}:gtminstance/* |
DescribeGtmRecoveryPlans | 获取容灾预案列表 | acs:alidns::{#accountId}:gtminstance/* |
DescribeGtmRecoveryPlan | 获取容灾预案详情 | acs:alidns::{#accountId}:gtminstance/* |
DescribeGtmRecoveryPlanAvailableConfig | 获取容灾预案可设置配置 | acs:alidns::{#accountId}:gtminstance/* |
DeleteGtmRecoveryPlan | 删除容灾预案 | acs:alidns::{#accountId}:gtminstance/* |
DescribeGtmLogs | 获取日志列表 | acs:alidns::{#accountId}:gtminstance/{#instanceId}(若传入instanceId) |
acs:alidns::{#accountId}:gtminstance/*(若未传入instanceId) |