API调用时如何授权_阿里云交易和账单管理API(BOA)-阿里云帮助中心

当使用子账号调用BSS接口时，需要主账号进行授权。

介绍RAM子账号授权调用BSS OpenAPI

RAM子账号调用BSS OpenAPI需要经过授权。目前和BSS OpenAPI相关的权限策略包括：

AliyunBSSFullAccess
AliyunBSSReadOnlyAccess
AliyunBSSOrderAccess

可通过自定义权限策略的方式，利用BSS OpenAPI对应的权限点进行更加细化的权限定义。权限策略的语法可参照说明。

BSS OpenAPI的权限为bssapi:【API名称】，例如bssapi:QueryOrder或bssapi:QueryInstanceBill 。

为了兼容控制台权限，以下表格中API对应的权限点同样可以使用。对于权限策略中，Allow或Deny一个API对应的任何一个权限点，权限策略都会生效。比如在如下的权限策略中，Action可替换为bss:DescribeBillList，策略同样会生效。

{
    "Version": 1, 
    "Statement": [
        {
            "Action": [
                "bssapi: QueryInstanceBill"
            ], 
            "Resource": "*", 
            "Effect": "Allow"
        }
    ]
}

说明

权限的resource都是*。

接口名	说明	权限Action
QueryAccountBalance	查询用户账户余额信息	bss:DescribeAcccount
QueryCashCoupons	查询用户代金券信息	bss:DescribeCoupons
QueryPrepaidCards	查询用户卡包信息	bss:DescrbePrepaidCards
QueryProductList	查询产品信息	bss:DescribeProduct
DescribePricingModule	查询产品模块信息	bss:DescribeProduct
QueryPriceList	查询用户账户余额信息	bss:DescribeProduct
GetPayAsYouGoPrice	后付费产品询价服务	bss:DescribePrice
GetSubscriptionPrice	预付费产品询价服务	bss:DescribePrice
QueryOrders	订单列表查询服务	bss:DescribeOrderList
GetOrderDetail	订单详情查询服务	bss:DescribeOrderDetail
ModifyInstance	实例变更服务	bss:ModifyInstance
QueryAvailableInstances	实例查询服务	bss:DescribeInstances
CreateInstance	实例创建服务	bss:ModifyInstance
SetRenewal	实例设置自动续费服务	bss:ModifyPrepaidInstanceAutoRenew
RenewInstance	实例续费服务	bss:ModifyInstance
DescribeResourcePackageProduct	描述资源包产品服务	bss:DescribeProduct
GetResourcePackagePrice	资源包产品询价服务	bss:DescribePrice
QueryResourcePackageInstances	查询资源包实例服务	bss:DescribeInstances
CreateResourcePackage	创建资源包服务	bss:ModifyInstance
QueryInstanceGaapCost	查询月费用分摊	bss:DescribeGaapBill
QueryProductList	查询产品信息	bss:DescribeProduct
QueryBillOverview	账单总览查询服务	bss:DescribeBillList
QueryBill	账单查询服务	bss:DescribeBillList
QueryInstanceBill	实例账单查询服务	bss:DescribeBillList
SubscribeBillToOSS	详单订阅服务	bss:ModifySubscribeToOSS
UnsubscribeBillToOSS	取消详单订阅服务	bss:ModifySubscribeToOSS
QueryAccountTransactions	查询用户收支明细信息	bss:DescribeAcccountTran
CancelOrder	取消未支付订单服务	bss:CancelOrder

为BSS OpenAPI设置云产品权限

在实际业务中，有可能需要限制某个RAM用户或用户组只能操作或者查询某些云产品的实例、账单等等。在权限策略中，支持用以下的方式进行设置，在用户调用API时，必须满足权限策略设置的Product Code和ProductType。

以下示例展示了仅可查询产品code为rds，同时商品code为rords或bards的订单权限设置。

{
    "Version": 1, 
    "Statement": [
        {
            "Effect": "Allow", 
            "Action": [
                "bssapi:QueryOrders"
            ], 
            "Resource": [
                "*"
            ], 
            "Condition": {
                "StringEquals": {
                    "bssapi:ProductCode": "rds", 
                    "bssapi: ProductType": [
                        "rords", 
                        "bards"
                    ]
                }
            }
        }
    ]
}