Kelompok keamanan dikelola dibuat oleh sistem layanan cloud untuk memastikan ketersediaan layanan. Dalam skenario di mana sumber daya cloud dibagikan di antara beberapa pengguna dan tim, kelompok keamanan dikelola dapat mencegah kegagalan atau risiko keamanan yang disebabkan oleh kesalahan operasi pengguna, sehingga meningkatkan stabilitas dan keamanan keseluruhan layanan cloud. Topik ini menjelaskan kelompok keamanan dikelola dan izin terkait operasi API.
Informasi latar belakang
Kelompok keamanan yang dibuat dalam mode dikelola disebut kelompok keamanan dikelola. Mode ini dirancang untuk menyelesaikan masalah kontrol izin untuk operasi pada kelompok keamanan dalam layanan cloud seperti Network Load Balancer (NLB) dan Secure Access Service Edge (SASE). Kelompok keamanan dikelola dikelola oleh sistem layanan cloud. Anda dapat melihat kelompok keamanan dikelola tetapi tidak dapat melakukan operasi apa pun pada mereka. Bagian berikut menjelaskan lebih lanjut tentang kelompok keamanan dikelola.
Layanan Alibaba Cloud menggunakan Security Token Service (STS) untuk memberikan izin kepada peran Resource Access Management (RAM) akun Anda guna membuat kelompok keamanan dikelola. Untuk informasi lebih lanjut tentang STS, lihat Apa itu STS?
Dalam konsol layanan cloud, Anda tidak dapat melakukan operasi pada kelompok keamanan dikelola, namun Anda dapat melihat informasi terkait kelompok keamanan tersebut.
Anda hanya dapat memanggil operasi API kueri untuk mengakses kelompok keamanan dikelola. Jika Anda mencoba memanggil operasi API lainnya untuk melakukan operasi pada kelompok keamanan dikelola, pesan kesalahan akan muncul dengan kode kesalahan
InvalidOperation.ResourceManagedByCloudProduct. Pesan kesalahan ini menunjukkan bahwa kelompok keamanan dikelola oleh sistem layanan cloud dan Anda tidak dapat melakukan operasi pada kelompok keamanan tersebut. Untuk informasi lebih lanjut tentang izin, lihat bagian Izin pada Operasi API Terkait Kelompok Keamanan Dikelola dari topik ini.
Anda dapat memanggil operasi DescribeSecurityGroups untuk memeriksa apakah nilai parameter ServiceManaged dari kelompok keamanan adalah True. Anda juga dapat memeriksa apakah pesan kesalahan serupa dengan You cannot modify security groups managed by cloud services ditampilkan di konsol layanan. Jika ya, kelompok keamanan tersebut merupakan kelompok keamanan dikelola.
Izin pada operasi API terkait kelompok keamanan dikelola
Tabel berikut menunjukkan operasi yang didukung dan tidak didukung. Simbol × menunjukkan bahwa operasi tidak didukung, sedangkan √ menunjukkan bahwa operasi didukung.
Operasi API | Deskripsi | Dapat dipanggil oleh akun Alibaba Cloud | Dapat dipanggil oleh sistem layanan cloud yang membuat kelompok keamanan dikelola |
| × | √ | |
| × | √ | |
Menghapus aturan arah masuk dari kelompok keamanan. | × | √ | |
Menghapus aturan arah keluar dari kelompok keamanan. | × | √ | |
Menambahkan sumber daya ke kelompok keamanan. | × | √ | |
Menghapus sumber daya dari kelompok keamanan. | × | √ | |
Menghapus kelompok keamanan. | × | √ | |
Memodifikasi kelompok keamanan. | × | √ | |
Memodifikasi aturan arah masuk kelompok keamanan. | × | √ | |
Memodifikasi aturan arah keluar kelompok keamanan. | × | √ | |
Memodifikasi kebijakan kontrol akses internal dari kelompok keamanan dasar. | × | √ | |
Mengkueri aturan kelompok keamanan. | √ | √ | |
Mengkueri kelompok keamanan. | √ | √ | |
Mengkueri kelompok keamanan yang aturannya merujuk kelompok keamanan sebagai objek otorisasi. | √ | √ | |
Membuat antarmuka jaringan elastis (ENI). | × | √ | |
Memodifikasi ENI. | × | √ | |
Membuat beberapa instans sekaligus. | × | √ | |
Membuat instans. | × | √ | |
Memodifikasi kelompok keamanan tempat instans milik. | × | √ |