全部产品
存储与CDN 数据库 安全 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网
云服务器 ECS

ECS API 发生子账号访问主账号资源时的鉴权规则

更新时间:2017-07-27 20:24:25

当子账号通过 ECS Open API 对主账号的 ECS 资源进行访问时,ECS 后台向 RAM 进行权限检查,以确保资源拥有者的确将相关资源的相关权限授予了调用者。

每个不同的 ECS API 会根据涉及到的资源以及 API 的语义来确定需要检查哪些资源的权限。具体地,每个 API 的鉴权规则见下表。

Action 鉴权规则
AllocatePublicIpAddress acs:ecs:$regionid:$accountid:instance/$instanceid
AttachDisk acs:ecs:$regionid:$accountid:disk/$diskid
acs:ecs:$regionid:$accountid:instance/$instanceid
AttachKeyPair acs:ecs:$regionid:$accountid:keypair/$KeyPairName
acs:ecs:$regionid:$accountid:instance/$instanceid
AuthorizeSecurityGroup acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
[and acs:ecs:$regionid:$accountid:securitygroup/$sourcegroupid(如果指定了 SourceGroupId)]
CreateDisk acs:ecs:$regionid:$accountid:disk/*
[and acs:ecs:$regionid:$accountid:snapshot/$snapshotid(如果指定了 SnapshotId)]
CreateImage acs:ecs:$regionid:$accountid:image/*
acs:ecs:$regionid:$accountid:snapshot/$snapshotid
CreateInstance acs:ecs:$regionid:$accountid:instance/*
acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
acs:ecs:$regionid:$accountid:image/$imageid
[and acs:ecs:$regionid:$accountid:snapshot/$snapshotid(如果指定了 DataDisk.n.SnapshotId)]
如果有 acs:ecs:$regionid:$accountid:keypair/$KeyPairName
CreateKeyPair acs:ecs:$regionid:$accountid:keypair/
CreateSecurityGroup acs:ecs:$regionid:$accountid:securitygroup/\
CreateSnapshot acs:ecs:$regionid:$accountid:disk/$diskid
acs:ecs:$regionid:$accountid:snapshot/*
DeleteDisk acs:ecs:$regionid:$accountid:disk/$diskid
DeleteImage acs:ecs:$regionid:$accountid:image/$imageid
DeleteInstance acs:ecs:$regionid:$accountid:instance/$instanceid
DeleteKeyPairs acs:ecs:$regionid:$accountid:keypair/$KeyPairName
DeleteSecurityGroup acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
DeleteSnapshot acs:ecs:$regionid:$accountid:snapshot/$snapshotid
DescribeAutoSnapshotPolicy acs:ecs:*:$accountid:snapshot/*
DescribeDisks acs:ecs:$regionid:$accountid:disk/*
DescribeImages acs:ecs:$regionid:$accountid:image/*
DescribeInstanceMonitorData acs:ecs:$regionid:$accountid:instance/$instanceid
DescribeInstanceStatus acs:ecs:$regionid:$accountid:instance/*
DescribeInstanceTypes acs:ecs:*:$accountid:*
DescribeKeyPairs acs:ecs:$regionid:$accountid:keypair/
DescribeRegions acs:ecs:\:$accountid:*
DescribeSecurityGroupAttribute acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
DescribeSecurityGroups acs:ecs:$regionid:$accountid:securitygroup/*
DescribeSnapshots acs:ecs:$regionid:$accountid:snapshot/*
DescribeZones acs:ecs:*:$accountid:*
DetachDisk acs:ecs:$regionid:$accountid:disk/$diskid
acs:ecs:$regionid:$accountid:instance/$instanceid
DetachKeyPair acs:ecs:$regionid:$accountid:keypair/$KeyPairName
acs:ecs:$regionid:$accountid:instance/$instanceid
ImportKeyPair acs:ecs:$regionid:$accountid:keypair/
JoinSecurityGroup acs:ecs:$regionid:$accountid:instance/$instanceid
acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
LeaveSecurityGroup acs:ecs:$regionid:$accountid:instance/$instanceid
acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
ModifyAutoSnapshotPolicy acs:ecs:\:$accountid:snapshot/*
ModifyDiskAttribute acs:ecs:$regionid:$accountid:disk/$diskid
ModifyInstanceAttribute acs:ecs:$regionid:$accountid:instance/$instanceid
ModifyInstanceNetworkSpec acs:ecs:$regionid:$accountid:instance/$instanceid
RebootInstance acs:ecs:$regionid:$accountid:instance/$instanceid
ReplaceSystemDisk acs:ecs:$regionid:$accountid:instance/$instanceid
[and acs:ecs:$regionid:$accountid:image/$imageid (如果是使用了自定义镜像或者镜像市场的镜像)]
ReInitDisk acs:ecs:$regionid:$accountid:disk/$diskid
ResetDisk acs:ecs:$regionid:$accountid:snapshot/$snapshotid
acs:ecs:$regionid:$accountid:disk/$diskid
RevokeSecurityGroup acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
[and acs:ecs:$regionid:$accountid:securitygroup/$sourcegroupid(如果指定了 sourcegroupid)]
StartInstance acs:ecs:$regionid:$accountid:instance/$instanceid
StopInstance acs:ecs:$regionid:$accountid:instance/$instanceid
DescribeInstances acs:ecs:$regionid:$accountid:instance/*
acs:ecs:$regionid:$accountid:keypair/
CreateVpc acs:ecs:$regionid:$accountid:vpc/\
ModifyVpcAttribute acs:ecs:$regionid:$accountid:vpc/$vpcid
DescribeVRouters acs:ecs:$regionid:$accountid:vrouter/*
CreateVSwitch acs:ecs:$regionid:$accountid:vswitch/*
CreateRouteTable acs:ecs:$regionid:$accountid:routetable/*
CreateRouteEntry acs:ecs:$regionid:$accountid:routetable/$routetableid
AllocateEipAddress acs:ecs:$regionid:$accountid:eip/*
AssociateEipAddress acs:ecs:$regionid:$accountid:eip/$allocationid acs:ecs:$regionid:$accountid:instance/$instanceid
ReleaseEipAddress acs:ecs:$regionid:$accountid:eip/$allocationid
RenewInstance acs:ecs:$regionid:$accountid:instance/$instanceid
DescribeVpcs acs:ecs:$regionid:$accountid:vpc/*
DeleteVpc acs:ecs:$regionid:$accountid:vpc/$vpcid
ModifyVRouterAttribute acs:ecs:$regionid:$accountid:vrouter/$vrouterid
DescribeVSwitches acs:ecs:$regionid:$accountid:vswitch/*
DeleteVSwitch acs:ecs:$regionid:$accountid:vswitch/$vswitchid
DescribeRouteTables acs:ecs:$regionid:$accountid:routetable/*
DeleteRouteEntry acs:ecs:$regionid:$accountid:routetable/$routetableid
DescribeEipAddresses acs:ecs:$regionid:$accountid:eip/*
UnassociateEipAddresses acs:ecs:$regionid:$accountid:eip/$eipid
acs:ecs:$regionid:$accountid:instance/$instanceid
ModifySecurityGroupAttribute acs:ecs:$regionid:$accountid:securitygroup/$securitygroupid
DescribeEipMonitorData acs:ecs:$regionid:$accountid:eip/$allocationid
ModifyVSwitchAttribute acs:ecs:$regionid:$accountid:vswitch/$vswitchid
DescribeInstanceVncUrl acs:ecs:$regionid:$accountid:instance/$instanceid
ModifySnapshotAttribute acs:ecs:$regionid:$accountid:snapshot/$snapshotid
ModifyInstanceVpcAttribute acs:ecs:$regionid:$accountid:instance/$instanceid
ModifyEipAddressAttribute acs:ecs:$regionid:$accountid:eip/$allocationid
DescribeDiskMonitorData acs:ecs:$regionid:$accountid:disk/$diskid
本文导读目录