托管安全组是云产品系统为保障服务可用性而创建的安全组。在多用户、多团队共享云资源的环境中,托管安全组能够有效防止用户误操作导致的故障或安全风险,从而提高云产品整体的稳定性和安全性。本文主要介绍托管安全组的概念,以及相关OpenAPI权限的说明。
背景信息
在托管模式下,安全组被称为托管安全组。这种模式旨在解决部分云产品(如网络负载均衡NLB、办公安全平台SASE等)的安全组操作权限控制问题。托管安全组由云产品系统进行管理,您只拥有查看权限,没有操作权限。详细说明如下:
创建托管安全组的方式是阿里云云产品通过阿里云临时安全令牌(Security Token Service,STS)授权您的账号的RAM角色自动进行的。关于STS的更多信息,请参见什么是STS。
通过云产品控制台:您不能操作托管安全组,仅能在控制台界面查看托管安全组的相关信息。
通过OpenAPI访问托管安全组:您仅能调用查询接口。如果您调用操作安全组相关的接口,将提示您该安全组为云产品系统管理的安全组,您无法操作,即返回包含错误码
InvalidOperation.ResourceManagedByCloudProduct的错误信息。具体权限,请参见托管安全组的OpenAPI权限说明。
您可以使用DescribeSecurityGroups接口查询到安全组的ServiceManaged属性为True,或使用控制台看到安全组有类似云产品托管的安全组不支持修改操作的提示时,表示该安全组为托管安全组。
托管安全组的OpenAPI权限说明
下表中×表示不支持操作;√表示支持操作。
API | 操作 | 您的阿里云账号 | 创建托管安全的云产品系统 |
API | 操作 | 您的阿里云账号 | 创建托管安全的云产品系统 |
| × | √ | |
| × | √ | |
删除安全组入方向规则 | × | √ | |
删除安全组出方向规则 | × | √ | |
加入安全组 | × | √ | |
离开安全组 | × | √ | |
删除安全组 | × | √ | |
修改安全组 | × | √ | |
修改安全组入方向规则 | × | √ | |
修改安全组出方向规则 | × | √ | |
修改安全组策略 | × | √ | |
查询安全组规则 | √ | √ | |
查询安全组列表 | √ | √ | |
查询安全组和其他哪些安全组有安全组级别的授权行为 | √ | √ | |
创建弹性网卡 | × | √ | |
修改弹性网卡 | × | √ | |
批量创建实例 | × | √ | |
创建实例 | × | √ | |
修改实例的安全组 | × | √ |
- 本页导读 (1)
- 背景信息
- 托管安全组的OpenAPI权限说明
