Decode RAM Access Denied Diagnostic Messages via API - Resource Access Management - Alibaba Cloud - Resource Access Management

Mendekode informasi diagnostik izin dari isi respons permintaan yang ditolak karena tidak adanya izin RAM.

Coba sekarang

Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

Test

RAM authorization

Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.
API: API yang dapat Anda panggil untuk melakukan aksi tersebut.
Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.
Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.
- Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.
- Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.
Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.
Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

Action

Access level

Resource type

Condition key

Dependent action

ram:DecodeDiagnosticMessage

get

*全部资源

*

None

Parameter permintaan

Parameter	Type	Required	Description	Example
EncodedDiagnosticMessage	string	No	Pesan diagnostik berenkode yang diperoleh dari bidang `AccessDeniedDetail.EncodedDiagnosticMessage` dalam isi respons ketika permintaan API ditolak karena izin yang tidak memadai. Berikan parameter ini untuk mendekode informasi diagnostik izin saat memanggil operasi ini.	AQEAAAAAZBgxr0U1MjA1NTM1LUM4BBktMzE5RS1CODgxLUU1QTI0RDNFQTM1****

Elemen respons

Element	Type	Description	Example
	object	Respons.
RequestId	string	ID permintaan.	D2331703-AADF-5564-BA9B-26CD51A33BA0
DecodedDiagnosticMessage	object	Pesan diagnostik yang telah didekode.
ExplicitDeny	boolean	Menunjukkan apakah penolakan bersifat eksplisit. Valid values: true : Menampilkan penolakan false : Tidak menampilkan penolakan	true
NoPermissionPolicyType	string	Jenis kebijakan yang menyebabkan penolakan izin. Valid values: AssumeRolePolicy : Kebijakan kepercayaan peran ControlPolicy : Kebijakan kontrol AccountLevelIdentityBasedPolicy : Kebijakan berbasis identitas (tingkat akun) ResourceGroupLevelIdentityBasedPolicy : Kebijakan berbasis identitas (tingkat grup sumber daya) SessionPolicy : Kebijakan sesi	AccountLevelIdentityBasedPolicy
AuthAction	string	Tindakan yang digunakan untuk autentikasi dalam permintaan pengguna.	ram:DecodeDiagnosticMessage
AuthResource	string	Sumber daya yang digunakan untuk autentikasi dalam permintaan pengguna.	*
AuthPrincipal	object	Prinsipal yang digunakan untuk autentikasi dalam permintaan pengguna.
AuthPrincipalType	string	The identity type used for authentication in the user request. Valid values: SubUser : RAM users AssumedRoleUser : RAM roles Federated : SSO federated identity	SubUser
AuthPrincipalOwnerId	string	The Alibaba Cloud account UID of the identity used for authentication in the user request.	196813200012****
AuthPrincipalDisplayName	string	The identity identifier used for authentication in the user request. Details are as follows: RAM user: The UID of the RAM user. RAM role: The role name and role session name (for example, RoleName:RoleSessionName). SSO federated identity: The identity provider type and identity provider name (for example, saml-provider/AzureAD).	28877424437521****
AuthConditions	array<object>	Daftar kondisi yang digunakan untuk autentikasi dalam permintaan pengguna.
	object	Kondisi autentikasi.
ConditionKey	string	The key of the authentication condition.	acs:SourceIp
ConditionValues	array	The list of values corresponding to the authentication condition key.
	string	A condition value corresponding to the authentication condition key.	172.16.215.218
MatchedPolicies	array<object>	Daftar kebijakan yang cocok selama autentikasi.
	object	Kebijakan yang cocok selama autentikasi.
Effect	string	The policy effect. Valid values: Deny : Deny Allow : Allow	Deny
PolicyIdentifier	string	The policy name. Details are as follows: Control policy: The control policy ID. RAM access policy: The access policy name.	MyPolicyName
PolicyType	string	The policy type. Valid values: Custom : Custom policy System : System policies	Custom
PolicyVersion	string	The policy version number. Catatan Only custom policies have version numbers.	v1
AttachedEntityType	string	The entity type to which the policy is attached. Valid values: RamUser : RAM users RamRole : RAM roles ResourceDirectoryTarget : Resource directory entity RamGroup : RAM user groups	RamUser
AttachedScope	string	The scope to which the policy is attached. Valid values: Account : Alibaba Cloud account Folder : Resource directory folders ResourceGroup : Resource groups	Account

Contoh

Respons sukses

JSONformat

{
  "RequestId": "D2331703-AADF-5564-BA9B-26CD51A33BA0",
  "DecodedDiagnosticMessage": {
    "ExplicitDeny": true,
    "NoPermissionPolicyType": "AccountLevelIdentityBasedPolicy",
    "AuthAction": "ram:DecodeDiagnosticMessage",
    "AuthResource": "*",
    "AuthPrincipal": {
      "AuthPrincipalType": "SubUser",
      "AuthPrincipalOwnerId": "196813200012****",
      "AuthPrincipalDisplayName": "28877424437521****"
    },
    "AuthConditions": [
      {
        "ConditionKey": "acs:SourceIp",
        "ConditionValues": [
          "172.16.215.218"
        ]
      }
    ],
    "MatchedPolicies": [
      {
        "Effect": "Deny",
        "PolicyIdentifier": "MyPolicyName",
        "PolicyType": "Custom",
        "PolicyVersion": "v1",
        "AttachedEntityType": "RamUser",
        "AttachedScope": "Account"
      }
    ]
  }
}

Kode kesalahan

HTTP status code	Error code	Error message
400	NotSupport	This method can only be invoked by customer, sub user and assumed role user.
400	EncodedMessageExpire	The EncodedDiagnosticMessage is expired.
403	NoPermission	You do not have the required permissions.
404	SearchInaccurate	The search result is inaccurate, please retry later.
404	EntityNotExist	The specific DecodedDiagnosticMessage cannot be found.
429	TooManyRequests	Too many search requests at same time, please retry later.

Lihat Error Codes untuk daftar lengkap.

Catatan rilis

Lihat Release Notes untuk daftar lengkap.