Decode RAM Access Denied Diagnostic Messages via API - Resource Access Management

Mendekode informasi diagnostik dalam respons yang berisi error akses ditolak akibat tidak adanya izin RAM.

Coba sekarang

Coba API ini di OpenAPI Explorer tanpa perlu penandatanganan manual. Panggilan yang berhasil akan secara otomatis menghasilkan contoh kode SDK sesuai dengan parameter Anda. Unduh kode tersebut dengan kredensial bawaan yang aman untuk penggunaan lokal.

Test

RAM authorization

Tabel berikut menjelaskan otorisasi yang diperlukan untuk memanggil API ini. Anda dapat menentukannya dalam kebijakan Resource Access Management (RAM). Kolom pada tabel dijelaskan sebagai berikut:

Action: Aksi yang dapat digunakan dalam elemen Action pada pernyataan kebijakan izin RAM untuk memberikan izin guna melakukan operasi tersebut.
API: API yang dapat Anda panggil untuk melakukan aksi tersebut.
Access level: Tingkat akses yang telah ditentukan untuk setiap API. Nilai yang valid: create, list, get, update, dan delete.
Resource type: Jenis resource yang mendukung otorisasi untuk melakukan aksi tersebut. Ini menunjukkan apakah aksi tersebut mendukung izin tingkat resource. Resource yang ditentukan harus kompatibel dengan aksi tersebut. Jika tidak, kebijakan tersebut tidak akan berlaku.
- Untuk API dengan izin tingkat resource, jenis resource yang diperlukan ditandai dengan tanda bintang (*). Tentukan Nama Sumber Daya Alibaba Cloud (ARN) yang sesuai dalam elemen Resource pada kebijakan.
- Untuk API tanpa izin tingkat resource, ditampilkan sebagai All Resources. Gunakan tanda bintang (*) dalam elemen Resource pada kebijakan.
Condition key: Kunci kondisi yang didefinisikan oleh layanan. Kunci ini memungkinkan kontrol granular, berlaku baik hanya untuk aksi maupun untuk aksi yang terkait dengan resource tertentu. Selain kunci kondisi spesifik layanan, Alibaba Cloud menyediakan serangkaian common condition keys yang berlaku di semua layanan yang didukung RAM.
Dependent action: Aksi dependen yang diperlukan untuk menjalankan aksi tersebut. Untuk menyelesaikan aksi tersebut, pengguna RAM atau role RAM harus memiliki izin untuk melakukan semua aksi dependen.

Action

Access level

Resource type

Condition key

Dependent action

ram:DecodeDiagnosticMessage

get

*全部资源

*

None

Parameter permintaan

Parameter	Type	Required	Description	Example
EncodedDiagnosticMessage	string	No	Informasi diagnostik terenkripsi dalam respons yang berisi error akses ditolak. Error tersebut disebabkan oleh tidak adanya izin RAM.	AQEAAAAAZBgxr0U1MjA1NTM1LUM4BBktMzE5RS1CODgxLUU1QTI0RDNFQTM1****

Elemen respons

Element	Type	Description	Example
	object	Parameter respons.
RequestId	string	ID permintaan.	D2331703-AADF-5564-BA9B-26CD51A33BA0
DecodedDiagnosticMessage	object	Informasi diagnostik yang telah didekode.
ExplicitDeny	boolean	Menunjukkan apakah error akses ditolak disebabkan oleh penolakan eksplisit. Nilai yang valid: true false Valid values: true : false :	true
NoPermissionPolicyType	string	Jenis kebijakan yang menyebabkan error akses ditolak. Nilai yang valid: AssumeRolePolicy: kebijakan kepercayaan spesifik role ControlPolicy: kebijakan kontrol AccountLevelIdentityBasedPolicy: kebijakan berbasis identitas di tingkat akun ResourceGroupLevelIdentityBasedPolicy: kebijakan berbasis identitas di tingkat resource group SessionPolicy: kebijakan sesi Valid values: AssumeRolePolicy : ControlPolicy : AccountLevelIdentityBasedPolicy : ResourceGroupLevelIdentityBasedPolicy : SessionPolicy :	AccountLevelIdentityBasedPolicy
AuthAction	string	Operasi yang digunakan untuk autentikasi dalam permintaan.	ram:DecodeDiagnosticMessage
AuthResource	string	Resource yang digunakan untuk autentikasi dalam permintaan.	*
AuthPrincipal	object	Operator yang digunakan untuk autentikasi dalam permintaan.
AuthPrincipalType	string	Jenis identitas yang digunakan untuk autentikasi dalam permintaan. Nilai yang valid: SubUser: RAM user AssumedRoleUser: RAM role Federated: identitas federasi SSO Valid values: SubUser : AssumedRoleUser : Federated :	SubUser
AuthPrincipalOwnerId	string	ID Akun Alibaba Cloud tempat identitas tersebut berada.	196813200012****
AuthPrincipalDisplayName	string	Identitas tersebut. Jika operator adalah RAM user, ID pengguna akan ditampilkan. Jika operator adalah RAM role, nama dan nama sesi role akan ditampilkan. Contoh: RoleName:RoleSessionName. Jika operator adalah identitas federasi SSO, tipe dan nama penyedia identitas (IdP) akan ditampilkan. Contoh: saml-provider/AzureAD.	28877424437521****
AuthConditions	array<object>	Kondisi yang digunakan untuk autentikasi dalam permintaan.
	object	Kondisi yang digunakan untuk autentikasi dalam permintaan.
ConditionKey	string	Kunci kondisi.	acs:SourceIp
ConditionValues	array	Nilai yang sesuai dengan kunci tersebut.
	string	Nilai yang sesuai dengan kunci tersebut.	172.16.215.218
MatchedPolicies	array<object>	Kebijakan yang cocok.
	object	Kebijakan yang cocok.
Effect	string	Efek dari kebijakan tersebut. Nilai yang valid: Deny Allow Valid values: Deny : Allow :	Deny
PolicyIdentifier	string	Identifier kebijakan. Kebijakan kontrol: ID kebijakan kontrol Kebijakan RAM: nama kebijakan	MyPolicyName
PolicyType	string	Jenis kebijakan. Nilai yang valid: Custom: kebijakan kustom System: kebijakan sistem Valid values: Custom : System :	Custom
PolicyVersion	string	Nomor versi kebijakan. Catatan Hanya kebijakan kustom yang memiliki nomor versi.	v1
AttachedEntityType	string	Jenis entitas tempat kebijakan tersebut disambungkan. Nilai yang valid: RamUser: RAM user RamRole: RAM role ResourceDirectoryTarget: entitas dalam resource directory RamGroup: RAM user group Valid values: RamUser : RamRole : ResourceDirectoryTarget : RamGroup :	RamUser
AttachedScope	string	Cakupan otorisasi kebijakan. Nilai yang valid: Account: Akun Alibaba Cloud Folder: folder dalam resource directory ResourceGroup: resource group Valid values: Account : Folder : ResourceGroup :	Account

Contoh

Respons sukses

JSONformat

{
  "RequestId": "D2331703-AADF-5564-BA9B-26CD51A33BA0",
  "DecodedDiagnosticMessage": {
    "ExplicitDeny": true,
    "NoPermissionPolicyType": "AccountLevelIdentityBasedPolicy",
    "AuthAction": "ram:DecodeDiagnosticMessage",
    "AuthResource": "*",
    "AuthPrincipal": {
      "AuthPrincipalType": "SubUser",
      "AuthPrincipalOwnerId": "196813200012****",
      "AuthPrincipalDisplayName": "28877424437521****"
    },
    "AuthConditions": [
      {
        "ConditionKey": "acs:SourceIp",
        "ConditionValues": [
          "172.16.215.218"
        ]
      }
    ],
    "MatchedPolicies": [
      {
        "Effect": "Deny",
        "PolicyIdentifier": "MyPolicyName",
        "PolicyType": "Custom",
        "PolicyVersion": "v1",
        "AttachedEntityType": "RamUser",
        "AttachedScope": "Account"
      }
    ]
  }
}

Kode kesalahan

HTTP status code	Error code	Error message
400	NotSupport	This method can only be invoked by customer, sub user and assumed role user.
400	EncodedMessageExpire	The EncodedDiagnosticMessage is expired.
403	NoPermission	You do not have the required permissions.
404	SearchInaccurate	The search result is inaccurate, please retry later.
404	EntityNotExist	The specific DecodedDiagnosticMessage cannot be found.
429	TooManyRequests	Too many search requests at same time, please retry later.

Lihat Error Codes untuk daftar lengkap.

Catatan rilis

Lihat Release Notes untuk daftar lengkap.