全局流量管理(GTM)提供具体的 API 鉴权规则说明,主要是应用于系统策略不能满足使用的,客户需要设置自定义权限策略。

授权粒度说明

  • 服务级别(service):将全局流量管理(GTM)作为一个整体进行授权。全局流量管理(GTM)作为云解析DNS的子产品,可以复用云解析DNS提供的系统权限策略“AliyunDNSFullAccess”、“AliyunDNSReadyOnlyAccess”就均属于服务级别的整体授权。
  • 操作级别(Action):是通过全局流量管理(GTM)OPEN API级别进行授权。一个RAM用户可以对全局流量管理(GTM)的某类资源执行某几个指定的操作。
  • 资源级别(Resource):对执行资源的指定操作进行授权,例如全局流量管理(GTM)的可授权的DNS资源类别为instance。

DNS资源类型说明

目前,可以在 RAM 中进行授权的资源类型及描述方式如下表所示:

资源类型 授权策略中的资源描述方式 描述方式
instance acs:alidns::{#accountId}:gtminstance/* 授权子账号管理GTM实例,例如获取实例列表,获取实例详情等。
acs:alidns::{#accountId}:gtminstance/{#instanceId}
例如:RAM用户授权管理某个Gtm实例完全的权限,“Resource” 代表的是DNS的资源类型设置。
{
    "Version": "1",
    "Statement": [
        {
            "Action": "alidns:*",
            "Resource": "acs:alidns::*:gtminstance/gtm-cn-o40187ifd01",
            "Effect": "Allow"
        },
        {
            "Action" : [
                "alidns:DescribeGtmInstances",
                "alidns:DescribeGtmInstanceStatus",
                "alidns:DescribeGtmAvailableAlertGroup",
                "alidns:DescribeGtmMonitorAvailableConfig",
                "alidns:GetMainDomainName",
                "alidns:CheckDomainRecord"
            ],
            "Resource": "acs:alidns::*:*",
            "Effect": "Allow"
        }
    ]
}
			

API鉴权规则

Action 描述 鉴权规则
AddGtmAddressPool 新增地址池 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmInstanceAddressPool 获取地址池详细信息 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmInstanceAddressPools 获取实例地址池列表 acs:alidns::{#accountId}:gtminstance/{#instanceId}
UpdateGtmAddressPool 修改地址池 acs:alidns::{#accountId}:gtminstance/{#instanceId}
UpdateGtmAddressPool 修改地址池 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DeleteGtmAddressPool 删除地址池 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmInstances 获取实例列表 acs:alidns::{#accountId}:gtminstance/*
DescribeGtmInstance 获取实例详情 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmInstanceStatus 获取实例当前状态 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmInstanceSystemCname 获取系统分配的cname域名 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmAvailableAlertGroup 获取实例可用报警组列表 acs:alidns::{#accountId}:gtminstance/*
UpdateGtmInstanceGlobalConfig 修改实例配置 acs:alidns::{#accountId}:gtminstance/{#instanceId}
AddGtmAccessStrategy 新增访问策略 acs:alidns::{#accountId}:gtminstance/{#instanceId}
UpdateGtmAccessStrategy 修改访问策略 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DeleteGtmAccessStrategy 删除访问策略 acs:alidns::{#accountId}:gtminstance/{#instanceId}
SetGtmAccessMode 修改生效地址池切换策略 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmAccessStrategy 获取访问策略详细信息 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmAccessStrategyAvailableConfig 获取访问策略可设置配置 acs:alidns::{#accountId}:gtminstance/{#instanceId}
AddGtmMonitor 添加健康检查 acs:alidns::{#accountId}:gtminstance/{#instanceId}
UpdateGtmMonitor 修改健康检查 acs:alidns::{#accountId}:gtminstance/{#instanceId}
SetGtmMonitorStatus 开启或关闭健康检查 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmMonitorConfig 获取地址池健康检查配置 acs:alidns::{#accountId}:gtminstance/{#instanceId}
DescribeGtmMonitorAvailableConfig 获取健康检查可设置的配置 acs:alidns::{#accountId}:gtminstance/*
AddGtmRecoveryPlan 新增容灾预案 acs:alidns::{#accountId}:gtminstance/*
PreviewGtmRecoveryPlan 预览容灾预案 acs:alidns::{#accountId}:gtminstance/*
ExecuteGtmRecoveryPlan 执行容灾预案 acs:alidns::{#accountId}:gtminstance/*
UpdateGtmRecoveryPlan 修改容灾预案 acs:alidns::{#accountId}:gtminstance/*
RollbackGtmRecoveryPlan 回滚容灾预案 acs:alidns::{#accountId}:gtminstance/*
DescribeGtmRecoveryPlans 获取容灾预案列表 acs:alidns::{#accountId}:gtminstance/*
DescribeGtmRecoveryPlan 获取容灾预案详情 acs:alidns::{#accountId}:gtminstance/*
DescribeGtmRecoveryPlanAvailableConfig 获取容灾预案可设置配置 acs:alidns::{#accountId}:gtminstance/*
DeleteGtmRecoveryPlan 删除容灾预案 acs:alidns::{#accountId}:gtminstance/*
DescribeGtmLogs 获取日志列表 acs:alidns::{#accountId}:gtminstance/{#instanceId}(若传入instanceId)
acs:alidns::{#accountId}:gtminstance/*(若未传入instanceId)