当使用子账号调用BSS接口时,需要主账号进行授权。

介绍RAM子账号授权调用BSS OpenAPI

RAM子账号调用BSS OpenAPI需要经过授权。目前和BSS OpenAPI相关的权限策略包括:

  • AliyunBSSFullAccess
  • AliyunBSSReadOnlyAccess
  • AliyunBSSOrderAccess

可通过自定义权限策略的方式,利用BSS OpenAPI对应的权限点进行更加细化的权限定义。权限策略的语法可参照说明

BSS OpenAPI的权限为bssapi:【API名称】,例如bssapi:QueryOrderbssapi:QueryInstanceBill

为了兼容控制台权限,以下表格中API对应的权限点同样可以使用。对于权限策略中,Allow或Deny一个API对应的任何一个权限点,权限策略都会生效。比如在如下的权限策略中,Action可替换为bss:DescribeBillList,策略同样会生效。
{
    "Version": 1, 
    "Statement": [
        {
            "Action": [
                "bssapi: QueryInstanceBill"
            ], 
            "Resource": "*", 
            "Effect": "Allow"
        }
    ]
}
说明 权限的resource都是*。
接口名 说明 权限Action
QueryAccountBalance 查询用户账户余额信息 bss:DescribeAcccount
QueryCashCoupons 查询用户代金券信息 bss:DescribeCoupons
QueryPrepaidCards 查询用户卡包信息 bss:DescrbePrepaidCards
QueryProductList 查询产品信息 bss:DescribeProduct
DescribePricingModule 查询产品模块信息 bss:DescribeProduct
QueryPriceList 查询用户账户余额信息 bss:DescribeProduct
GetPayAsYouGoPrice 后付费产品询价服务 bss:DescribePrice
GetSubscriptionPrice 预付费产品询价服务 bss:DescribePrice
QueryOrders 订单列表查询服务 bss:DescribeOrderList
GetOrderDetail 订单详情查询服务 bss:DescribeOrderDetail
ModifyInstance 实例变更服务 bss:ModifyInstance
QueryAvailableInstances 实例查询服务 bss:DescribeInstances
CreateInstance 实例创建服务 bss:ModifyInstance
SetRenewal 实例设置自动续费服务 bss:ModifyPrepaidInstanceAutoRenew
RenewInstance 实例续费服务 bss:ModifyInstance
DescribeResourcePackageProduct 描述资源包产品服务 bss:DescribeProduct
GetResourcePackagePrice 资源包产品询价服务 bss:DescribePrice
QueryResourcePackageInstances 查询资源包实例服务 bss:DescribeInstances
CreateResourcePackage 创建资源包服务 bss:ModifyInstance
QueryInstanceGaapCost 查询月费用分摊 bss:DescribeGaapBill
QueryProductList 查询产品信息 bss:DescribeProduct
QueryBillOverview 账单总览查询服务 bss:DescribeBillList
QueryBill 账单查询服务 bss:DescribeBillList
QueryInstanceBill 实例账单查询服务 bss:DescribeBillList
SubscribeBillToOSS 详单订阅服务 bss:ModifySubscribeToOSS
UnsubscribeBillToOSS 取消详单订阅服务 bss:ModifySubscribeToOSS
QueryAccountTransactions 查询用户收支明细信息 bss:DescribeAcccountTran
CancelOrder 取消未支付订单服务 bss:CancelOrder

为BSS OpenAPI设置云产品权限

在实际业务中,有可能需要限制某个RAM用户或用户组只能操作或者查询某些云产品的实例、账单等等。在权限策略中,支持用以下的方式进行设置,在用户调用API是,必须满足权限策略设置的Product Code和ProductType。

以下示例展示了仅可查询产品code为rds,同时商品code为rords或bards的订单权限设置。
{
    "Version": 1, 
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": [
                "bssapi:QueryOrders"
            ], 
            "Resource": [
                "*"
            ], 
            "Condition": {
                "StringEquals": {
                    "bssapi:ProductCode": "rds", 
                    "bssapi: ProductType": [
                        "rords", 
                        "bards"
                    ]
                }
            }
        }
    ]
}