在RAM用户调用API前,需要阿里云主账号通过创建授权策略对RAM用户进行授权。
资源授权
默认RAM用户没有权限通过调用API去创建、修改云资源。RAM用户调用API时,需要先创建一个授权策略,然后将这个授权策略关联给对应的RAM用户完成资源授权。
在创建授权策略时,您可以通过ARN(Aliyun Resource Name)指定要授权的资源。ARN是阿里云为每个资源定义的一个全局的阿里云资源名称。ARN格式如下。
acs:service-name:region:account-id:resource-relative-id其中:
- acs:Alibaba Cloud Service的首字母缩写,表示阿里云的公共云平台。
- service-name:阿里云云服务的名称,例如ECS、OSS、ROS等。
-
region:地域信息。如果不支持该项,可以使用通配符星号(
*)来代替。 -
account-id:账号ID,例如123456789012****。
-
resource-relative-id:具体的资源描述,不同的云产品的资源描述也不同,详情参见各云产品的开发文档。
例如
acs:oss:123456789012****:sample_bucket/file1.txt表示OSS服务中对象名称是sample_bucket/file1.txt的资源,对象的所有者UID为123456789012****。
可授权的资源编排资源类型
| 资源类型 | 授权策略中的资源描述方法 |
|---|---|
| Stack | acs:ros:$regionid:$accountid:stack/$stackid |
| acs:ros:$regionid:$accountid:stack/* | |
| Template | acs:ros:$regionid:$accountid:template/$templateid |
| acs:ros:$regionid:$accountid:template/* | |
| StackGroup | acs:ros:$regionid:$accountid:stack_group/* |
可授权的资源编排接口
下表列举了资源编排中可授权的API及其描述方式。
| API | 资源描述 |
|---|---|
| CreateStack | acs:ros:$regionid:$accountid:stack/* |
| UpdateStack | acs:ros:$regionid:$accountid:stack/$stackid |
| DeleteStack | acs:ros:$regionid:$accountid:stack/$stackid |
| GetStack | acs:ros:$regionid:$accountid:stack/$stackid |
| ListStacks | acs:ros:$regionid:$accountid:stack/* |
| PreviewStack | acs:ros:$regionid:$accountid:stack/* |
| GetTemplateEstimateCost | acs:ros:$regionid:$accountid:* |
| CancelUpdateStack | acs:ros:$regionid:$accountid:stack/$stackid |
| ContinueCreateStack | acs:ros:$regionid:$accountid:stack/$stackid |
| SetStackPolicy | acs:ros:$regionid:$accountid:stack/$stackid |
| GetStackPolicy | acs:ros:$regionid:$accountid:stack/$stackid |
| GetTemplate | acs:ros:$regionid:$accountid:stack/$stackid |
| acs:ros:$regionid:$accountid:template/$templateid | |
| CreateChangeSet | 当ChangeSetType为CREATE时,acs:ros:$regionid:$accountid:stack/*。 |
| 当ChangeSetType为UPDATE时,acs:ros:$regionid:$accountid:stack/$stackid。 | |
| GetChangeSet | acs:ros:$regionid:$accountid:stack/$stackid |
| ListChangeSets | acs:ros:$regionid:$accountid:stack/$stackid |
| ExecuteChangeSet | acs:ros:$regionid:$accountid:stack/$stackid |
| DeleteChangeSet | acs:ros:$regionid:$accountid:stack/$stackid |
| ListStackEvents | acs:ros:$regionid:$accountid:stack/$stackid |
| ListStackResources | acs:ros:$regionid:$accountid:stack/$stackid |
| GetStackResource | acs:ros:$regionid:$accountid:stack/$stackid |
| SignalResource | acs:ros:$regionid:$accountid:stack/$stackid |
| DetectStackDrift | acs:ros:$regionid:$accountid:stack/$stackid |
| DetectStackResourceDrift | acs:ros:$regionid:$accountid:stack/$stackid |
| GetStackDriftDetectionStatus | acs:ros:$regionid:$accountid:stack/$stackid |
| ListStackResourceDrifts | acs:ros:$regionid:$accountid:stack/$stackid |
| DetectStackGroupDrift | acs:ros:$regionid:$accountid:stack_group/* |
| UpdateStackTemplateByResources | acs:ros:$regionid:$accountid:stack/$stackid |
在文档使用中是否遇到以下问题
更多建议
匿名提交