在使用RAM账号调用Anycast EIP API前,需要主账号通过创建授权策略对RAM账号进行授权。在授权策略中,使用资源描述符(Alibaba Cloud Resource Name, ARN)指定授权资源。

表 1. 可授权的Anycast EIP资源类型
资源类型 描述 授权策略中的资源描述方式(ARN格式)
anycast 代表Anycast EIP资源

acs:eipanycast:{#regionId}:{#accountId}:anycast/*

acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}

API鉴权规则

当RAM账号通过API进行资源访问时,后台向RAM进行权限检查,以确保调用者拥有响应权限。

每个不同的API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。具体地,每个API的鉴权规则见下表。

表 2. 鉴权规则
鉴权Action 鉴权规则
Eipanycast:AllocateAnycastEipAddress acs:eipanycast:{#regionId}:{#accountId}:anycast/*
Eipanycast:ModifyAnycastEipAddressAttribute acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
Eipanycast:ModifyAnycastEipAddressSpec acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
Eipanycast:ReleaseAnycastEipAddress acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
Eipanycast:AssociateAnycastEipAddress

acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}

acs:slb:{#regionId}:{#accountId}:loadbalancer/{#loadbalancerId}

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}

Eipanycast:UnassociateAnycastEipAddress

acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}

acs:slb:{#regionId}:{#accountId}:loadbalancer/{#loadbalancerId}

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}

Eipanycast:DescribeAnycastEipAddress acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
Eipanycast:ListAnycastEipAddresses acs:eipanycast:{#regionId}:{#accountId}:anycast/*
Eipanycast:DescribeAnycastPopLocations 无需鉴权
Eipanycast:DescribeAnycastServerRegions 无需鉴权