全部产品
存储与CDN 数据库 域名与网站(万网) 应用服务 数加·人工智能 数加·大数据基础服务 互联网中间件 视频服务 开发者工具 解决方案 物联网 钉钉智能硬件
云服务器 ECS

ECS API 发生子账号访问主账号资源时的鉴权规则

更新时间:2018-02-09 17:40:32

当子账号通过 ECS Open API 对主账号的 ECS 资源进行访问时,ECS 后台向 RAM 进行权限检查,以确保资源拥有者的确将相关资源的相关权限授予了调用者。

每个不同的 ECS API 会根据涉及到的资源以及 API 的语义来确定需要检查哪些资源的权限。具体地,每个 API 的鉴权规则见下表。

Action 鉴权规则
AddTags acs:ecs:$regionid:$accountid:$resourceType/$resourceId
AllocatePublicIpAddress acs:ecs:$regionid:$accountid:instance/$instanceId
ApplyAutoSnapshotPolicy acs:ecs:*:$accountid:snapshot/*
AttachClassicLinkVpc acs:ecs:$regionid:$accountid:instance/$instanceId
AttachDisk acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:instance/$diskId
AttachKeyPair acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:keypair/$keypairName
AuthorizeSecurityGroup acs:ecs:$regionid:$accountid:securitygroup/$groupNo
AuthorizeSecurityGroupEgress acs:ecs:$regionid:$accountid:securitygroup/$groupNo
CancelAutoSnapshotPolicy acs:ecs:*:$accountid:snapshot/*
CancelCopyImage acs:ecs:$regionid:$accountid:image/$imageNo
CopyImage acs:ecs:$fromRegionid:$accountid:image/$imageNo
acs:ecs:$toRegionid:$accountid:image/*
ConvertNatPublicIpToEip acs:ecs:$regionid:$accountid:instance/$instanceId
CreateAutoSnapshotPolicy acs:ecs:*:$accountid:snapshot/*
CreateDisk acs:ecs:$regionid:$accountid:disk/*
acs:ecs:$regionid:$accountid:snapshot/$snapshotId
CreateImage acs:ecs:$regionid:$accountid:image/*
acs:ecs:$regionid:$accountid:snapshot/$snapshotId
acs:ecs:$regionid:$accountid:instance/$instanceId
CreateInstance acs:ecs:$regionid:$accountid:instance/*
acs:ecs:$regionid:$accountid:image/$imageNo
acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
acs:ecs:$regionid:$accountid:snapshot/$snapshotId
(可选)acs:ecs:$regionid:$accountid:keypair/$keyPairName
CreateKeyPair acs:ecs:$regionid:$accountid:keypair/*
CreateSecurityGroup acs:ecs:$regionid:$accountid:resourcegroup/
CreateSnapshot acs:ecs:$regionid:$accountid:snapshot/\
acs:ecs:$regionid:$accountid:disk/$diskId
acs:ecs:$regionid:$accountid:volume/$volumeId
DeleteAutoSnapshotPolicy acs:ecs:*:$accountid:snapshot/*
DeleteDisk acs:ecs:$regionid:$accountid:disk/$diskId
DeleteImage acs:ecs:$regionid:$accountid:image/$imageNo
DeleteInstance acs:ecs:$regionid:$accountid:instance/$instanceId
DeleteKeyPairs acs:ecs:$regionid:$accountid:keypair/$keyPairName
DeleteSecurityGroup acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
DeleteSnapshot acs:ecs:$regionid:$accountid:snapshot/$snapshotId
DescribeClassicLinkInstances acs:ecs:$regionid:$accountid:instance/*
DescribeDiskMonitorData acs:ecs:$regionid:$accountid:disk/$diskId
DescribeDisks acs:ecs:$regionid:$accountid:disk/$diskId
acs:ecs:$regionid:$accountid:disk/*
DescribeImages acs:ecs:$regionid:$accountid:image/$imageNo
acs:ecs:$regionid:$accountid:image/*
DescribeInstanceAttribute acs:ecs:$regionid:$accountid:instance/$instanceId
DescribeInstanceMonitorData acs:ecs:$regionid:$accountid:instance/$instanceId
DescribeInstances acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:instance/*
DescribeInstanceStatus acs:ecs:$regionid:$accountid:instance/*
DescribeInstanceVncPasswd acs:ecs:$regionid:$accountid:instance/$instanceId
DescribeInstanceVncUrl acs:ecs:$regionid:$accountid:instance/$instanceId
DescribeKeyPairs acs:ecs:$regionid:$accountid:keypair/$keyPairName
acs:ecs:$regionid:$accountid:keypair/*
DescribePrice acs:ecs:*:$accountid:*
DescribeRenewalPrice acs:ecs:$regionid:$accountid:instance/$instanceId
DescribeSecurityGroupAttribute acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
DescribeSecurityGroups acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
acs:ecs:$regionid:$accountid:resourcegroup/*
DescribeSnapshotAttribute acs:ecs:$regionid:$accountid:snapshot/$snapshotId
DescribeSnapshotLinks acs:ecs:$regionid:$accountid:disk/$diskId
acs:ecs:$regionid:$accountid:disk/*
DescribeSnapshotMonitorData acs:ecs::$accountid:snapshot/
DescribeSnapshots acs:ecs:$regionid:$accountid:snapshot/$snapshotId
acs:ecs:$regionid:$accountid:snapshot/*
DescribeTags acs:ecs:$regionid:$accountid:$resourceType/$resourceId
DetachClassicLinkVpc acs:ecs:$regionid:$accountid:instance/$instanceId
DetachDisk acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:instance/$diskId
DetachKeyPair acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:keypair/$keypairName
ExportImage acs:ecs:$regionid:$accountid:image/$imageNo
ImportImage acs:ecs:$regionid:$accountid:image/*
ImportKeyPair acs:ecs:$regionid:$accountid:keypair/*
JoinSecurityGroup acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
LeaveSecurityGroup acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
ModifyAutoSnapshotPolicy acs:ecs:*:$accountid:snapshot/*
ModifyDiskAttribute acs:ecs:$regionid:$accountid:disk/$diskId
ModifyImageAttribute acs:ecs:$regionid:$accountid:image/$imageNo
ModifyInstanceAttribute acs:ecs:$regionid:$accountid:instance/$instanceId
ModifyInstanceAutoReleaseTime acs:ecs:$regionid:$accountid:instance/$instanceId
ModifyInstanceChargeType acs:ecs:$regionid:$accountid:instance/$instanceId
ModifyInstanceNetworkSpec acs:ecs:$regionid:$accountid:instance/$instanceId
ModifyInstanceVncPasswd acs:ecs:$regionid:$accountid:instance/$instanceId
ModifyInstanceVpcAttribute acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:vswitch/$vSwitchId
ModifySecurityGroupAttribute acs:ecs:$regionid:$accountid:securitygroup/$groupNo
ModifySecurityGroupEgressRule acs:ecs:$regionid:$accountid:securitygroup/$groupNo
ModifySecurityGroupRule acs:ecs:$regionid:$accountid:securitygroup/$groupNo
ModifySnapshotAttribute acs:ecs:$regionid:$accountid:snapshot/$snapshotId
RebootInstance acs:ecs:$regionid:$accountid:instance/$instanceId
ReInitDisk acs:ecs:$regionid:$accountid:disk/$diskId
ReleasePublicIpAddress acs:ecs:$regionid:$accountid:instance/$instanceId
RemoveTags acs:ecs:$regionid:$accountid:$resourceType/$resourceId
RenewInstance acs:ecs:$regionid:$accountid:instance/$instanceId
ReplaceSystemDisk acs:ecs:$regionid:$accountid:instance/$instanceId
acs:ecs:$regionid:$accountid:image/$imageNo
ResetDisk acs:ecs:$regionid:$accountid:disk/$diskId
ResizeDisk acs:ecs:$regionid:$accountid:disk/$diskId
RevokeSecurityGroup acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
RevokeSecurityGroupEgress acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
RunInstances acs:ecs:$regionid:$accountid:instance/*
acs:ecs:$regionid:$accountid:image/$imageNo
acs:ecs:$regionid:$accountid:resourcegroup/$groupNo
acs:ecs:$regionid:$accountid:snapshot/$snapshotId
acs:ecs:$regionid:$accountid:keypair/$keyPairName
StartInstance acs:ecs:$regionid:$accountid:instance/$instanceId
StopInstance acs:ecs:$regionid:$accountid:instance/$instanceId
本文导读目录