文档

托管安全组

更新时间:

当使用需要创建安全组的云产品时,为了保障云产品的服务可用性,云产品系统将选择创建托管模式的安全组,即托管安全组。在多用户、多团队共享云资源的环境中,托管安全组能够有效防止用户误操作导致的故障或安全风险,从而提高云产品整体的稳定性和安全性。本文主要介绍托管安全组的概念,以及相关OpenAPI权限的说明,帮助您更好地理解和管理托管安全组。

背景信息

在托管模式下,安全组被称为托管安全组。这种模式旨在解决部分云产品(例如:云防火墙、NAT网关等)的安全组操作权限控制问题。托管安全组由云产品系统进行管理,您只拥有查看权限,没有操作权限。详细说明如下:

说明

创建托管安全组的方式是阿里云云产品通过阿里云临时安全令牌(Security Token Service,STS)授权您的账号的RAM角色自动进行的。关于STS的更多信息,请参见什么是STS

  • 通过云产品控制台:您不能操作托管安全组,仅能在控制台界面查看托管安全组的相关信息。

  • 通过OpenAPI访问托管安全组:您仅能调用查询接口。如果您调用操作安全组相关的接口,将提示您该安全组为云产品系统管理的安全组,您无法操作,即返回包含错误码InvalidOperation.ResourceManagedByCloudProduct的错误信息。具体权限,请参见托管安全组的OpenAPI权限说明

您可以通过调用DescribeSecurityGroups接口,查看返回值参数ServiceManagedServiceID,确认相关的安全组是否为托管安全组。

托管安全组的OpenAPI权限说明

API

操作

您的阿里云账号

创建托管安全的云产品系统

AuthorizeSecurityGroup

  • 增加安全组入方向规则

  • 入方向授权托管安全组的访问权限

不可操作

可以操作

AuthorizeSecurityGroupEgress

  • 增加安全组出方向规则

  • 出方向授权托管安全组的访问权限

不可操作

可以操作

RevokeSecurityGroup

删除安全组入方向规则

不可操作

可以操作

RevokeSecurityGroupEgress

删除安全组出方向规则

不可操作

可以操作

JoinSecurityGroup

加入安全组

不可操作

可以操作

LeaveSecurityGroup

离开安全组

不可操作

可以操作

DeleteSecurityGroup

删除安全组

不可操作

可以操作

ModifySecurityGroupAttribute

修改安全组

不可操作

可以操作

ModifySecurityGroupRule

修改安全组入方向规则描述

不可操作

可以操作

ModifySecurityGroupEgressRule

修改安全组出方向规则描述

不可操作

可以操作

ModifySecurityGroupPolicy

修改安全组策略

不可操作

可以操作

DescribeSecurityGroupAttribute

查询安全组规则

可以操作

可以操作

DescribeSecurityGroups

查询安全组列表

可以操作

可以操作

DescribeSecurityGroupReferences

查询安全组和其他哪些安全组有安全组级别的授权行为

可以操作

可以操作

CreateNetworkInterface

创建弹性网卡

不可操作

可以操作

ModifyNetworkInterfaceAttribute

修改弹性网卡

不可操作

可以操作

RunInstances

创建实例

不可操作

可以操作

CreateInstance

创建实例

不可操作

可以操作

ModifyInstanceAttribute

修改实例的安全组

不可操作

可以操作

相关文档

  • 阿里云云防火墙(Cloud Firewall)是一款公共云环境下的SaaS化防火墙,可统一管理南北向和东西向的流量,提供流量监控、精准访问控制、实时入侵防御等功能,全面保护您的网络边界。更多信息,请参见什么是云防火墙

  • NAT 网关(NAT Gateway)是一种网络地址转换服务,提供NAT代理(SNAT和DNAT)能力。更多信息,请参见什么是NAT网关