当您需要为部分云产品(例如容器服务ACK、NAT网关等)创建弹性网卡时,您可以将弹性网卡托管给云产品系统管理,该模式的弹性网卡称为托管弹性网卡。该模式可以防止您误操作资源并保障云产品的服务可用。本文主要介绍托管弹性网卡及其相关权限。
功能介绍
将弹性网卡托管给云产品系统管理,可以解决云产品对弹性网卡操作权限控制问题。托管后,通过云产品或者ECS控制台访问托管弹性网卡时,您只能查看托管弹性网卡的相关信息,不能操作托管弹性网卡。
说明 创建托管弹性网卡过程如下:
您通过阿里云临时安全令牌STS(Security Token Service)为云产品授权后,云产品通过调用ECS的CreateNetworkInterface接口创建弹性网卡。关于STS的更多信息,请参见什么是STS。
您可以通过调用查询接口DescribeNetworkInterfaces,查看返回值参数
ServiceManaged和Description,确认相关的弹性网卡是否为托管弹性网卡。
说明 如果为托管弹性网卡,则
ServiceManaged为true, Description显示云产品名称。
托管弹性网卡的OpenAPI权限说明
通过OpenAPI访问托管弹性网卡时,您仅能调用查询接口。如果您调用相关操作接口,将提示您该弹性网卡为云产品系统管理的弹性网卡,您无法操作,即返回InvalidOperation.EniServiceManaged的错误信息。关于各OpenAPI的具体权限如下表所示。
| API | 操作 | 您的阿里云账号 | 创建托管安全的云产品系统 |
|---|---|---|---|
| DescribeNetworkInterfaces | 查询弹性网卡 | 可以操作 | 可以操作 |
| DeleteNetworkInterface | 删除弹性网卡 | 不可操作 | 可以操作 |
| ModifyNetworkInterfaceAttribute | 修改弹性网卡的名称、描述及所属安全组等信息 | 不可操作 | 可以操作 |
| AttachNetworkInterface | 绑定弹性网卡 | 不可操作 | 可以操作 |
| DetachNetworkInterface | 解绑弹性网卡 | 不可操作 | 可以操作 |
| AssignPrivateIpAddresses | 为弹性网卡分配辅助私网IP地址 | 不可操作 | 可以操作 |
| UnassignPrivateIpAddresses | 回收弹性网卡的辅助私网IP地址 | 不可操作 | 可以操作 |
| AssignIpv6Addresses | 为弹性网卡分配IPv6地址 | 不可操作 | 可以操作 |
| UnassignIpv6Addresses | 回收弹性网卡的IPv6地址 | 不可操作 | 可以操作 |