Otorisasi RAM - - 阿里云

Sebelum menggunakan pengguna RAM untuk memanggil operasi API Alibaba Cloud, Anda harus membuat kebijakan otorisasi menggunakan akun Alibaba Cloud untuk memberikan izin kepada pengguna RAM.

Otorisasi sumber daya

Secara default, pengguna RAM tidak memiliki otoritas untuk memanggil operasi API Alibaba Cloud. Sebelum menggunakan pengguna RAM untuk memanggil operasi API, Anda harus memberikan izin terhadap operasi API yang ingin dipanggil. Untuk memberikan izin, buat dan lampirkan kebijakan otorisasi kepada pengguna RAM.

Saat membuat kebijakan otorisasi, Anda dapat menggunakan Nama Sumber Daya Alibaba Cloud (ARN) untuk menentukan sumber daya yang ingin diberi izin. ARN adalah nama unik global yang digunakan untuk mengidentifikasi sumber daya di Alibaba Cloud. Format ARN adalah sebagai berikut:

acs:service-name:region:account-id:resource-relative-id

ARN mencakup bidang-bidang berikut:

acs: Singkatan dari Alibaba Cloud Service, menunjukkan bahwa layanan tersebut merupakan penawaran cloud publik dari Alibaba Cloud.
service-name: Nama layanan Alibaba Cloud, seperti Elastic Compute Service (ECS), Object Storage Service (OSS), dan Resource Orchestration Service (ROS).
region: Wilayah tempat layanan berada. Jika opsi ini tidak didukung, gunakan tanda bintang (*) sebagai gantinya.
account-id: ID akun Alibaba Cloud Anda, seperti 123456789012****.
resource-relative-id: Deskripsi sumber daya, yang bervariasi tergantung pada layanan. Untuk informasi lebih lanjut, lihat dokumentasi layanan Alibaba Cloud yang ingin digunakan.
Contohnya, acs:oss:*:123456789012****:sample_bucket/file1.txt menunjukkan sumber daya bernama sample_bucket/file1.txt di OSS, dan 123456789012**** menunjukkan ID pengguna yang memiliki sumber daya tersebut.

Jenis sumber daya ROS yang dapat diberi otorisasi

Tipe sumber daya	Format ARN dalam kebijakan otorisasi
Stack	acs:ros:$regionid:$accountid:stack/$stackid
Stack	acs:ros:$regionid:$accountid:stack/*
Template	acs:ros:$regionid:$accountid:template/$templateid
Template	acs:ros:$regionid:$accountid:template/*
StackGroup	acs:ros:$regionid:$accountid:stack_group/*

Operasi API ROS yang dapat diberi otorisasi

Operasi Stack

API	Action	Format ARN
PreviewStack	ros:PreviewStack	acs:ros:cn-hangzhou:$accountid:stack/*
CreateStack	ros:CreateStack	cs:ros:cn-hangzhou:$accountid:stack/*
ContinueCreateStack	ros:ContinueCreateStack	acs:ros:cn-hangzhou:$accountid:stack/$stackid
SetDeletionProtection	ros:SetDeletionProtection	acs:ros:cn-hangzhou:$accountid:stack/$stackid
UpdateStack	ros:UpdateStack	acs:ros:cn-hangzhou:$accountid:stack/$stackid
CancelUpdateStack	ros:CancelUpdateStack	acs:ros:cn-hangzhou:$accountid:stack/$stackid
GetStack	ros:GetStack	acs:ros:cn-hangzhou:$accountid:stack/$stackid
ListStacks	ros:ListStacks	acs:ros:cn-hangzhou:$accountid:stack/*
ListStackEvents	ros:ListStackEvents	acs:ros:cn-hangzhou:$accountid:stack/$stackid
ListStackOperationRisks	ros:ListStackOperationRisks	acs:ros:cn-hangzhou:$accountid:stack/$stackid
DeleteStack	ros:DeleteStack	acs:ros:cn-hangzhou:$accountid:stack/$stackid
CreateChangeSet	ros:CreateChangeSet	Ketika ChangeSetType disetel ke CREATE: acs:ros:cn-hangzhou:$accountid:stack/* Ketika ChangeSetType disetel ke UPDATE: acs:ros:cn-hangzhou:$accountid:stack/$stackid Ketika ChangeSetType disetel ke IMPORT: acs:ros:cn-hangzhou:$accountid:stack/*
ExecuteChangeSet	ros:ExecuteChangeSet	acs:ros:cn-hangzhou:$accountid:stack/$stackid
GetChangeSet	ros:GetChangeSet	acs:ros:cn-hangzhou:$accountid:stack/$stackid
ListChangeSets	ros:ListChangeSets	acs:ros:cn-hangzhou:$accountid:stack/$stackid
DeleteChangeSet	ros:DeleteChangeSet	acs:ros:cn-hangzhou:$accountid:stack/$stackid

Operasi Sumber Daya

API	Action	Format ARN
GetResourceTypeTemplate	ros:GetResourceTypeTemplate	Tidak memerlukan autentikasi
ListStackResources	ros:ListStackResources	acs:ros:cn-hangzhou:$accountid:stack/$stackid
GetStackResource	ros:GetStackResource	acs:ros:cn-hangzhou:$accountid:stack/$stackid
GetResourceType	ros:GetResourceType	Tidak memerlukan autentikasi
ListResourceTypes	ros:ListResourceTypes	Tidak memerlukan autentikasi
MoveResourceGroup	ros:MoveResourceGroup	Ketika ResourceType disetel ke stack: acs:ros:cn-hangzhou:$accountid:stack/* Ketika ResourceType disetel ke stackgroup: acs:ros:cn-hangzhou:$accountid:stack_group/* Ketika ResourceType disetel ke template: acs:ros:cn-hangzhou:$accountid:template/*

Operasi Grup Stack

API	Action	Format ARN
CreateStackGroup	ros:CreateStackGroup	acs:ros:cn-hangzhou:$accountid:stack_group/*
UpdateStackGroup	ros:UpdateStackGroup	acs:ros:cn-hangzhou:$accountid:stack_group/*
GetStackGroup	ros:GetStackGroup	acs:ros:cn-hangzhou:$accountid:stack_group/*
ListStackGroups	ros:ListStackGroups	acs:ros:cn-hangzhou:$accountid:stack_group/*
DeleteStackGroup	ros:DeleteStackGroup	acs:ros:cn-hangzhou:$accountid:stack_group/*
CreateStackInstances	ros:CreateStackInstances	acs:ros:cn-hangzhou:$accountid:stack_instance/*
UpdateStackInstances	ros:UpdateStackInstances	acs:ros:cn-hangzhou:$accountid:stack_instance/*
GetStackInstance	ros:GetStackInstance	acs:ros:cn-hangzhou:$accountid:stack_instance/*
ListStackInstances	ros:ListStackInstances	acs:ros:cn-hangzhou:$accountid:stack_instance/*
DeleteStackInstances	ros:DeleteStackInstances	acs:ros:cn-hangzhou:$accountid:stack_instance/*
GetStackGroupOperation	ros:GetStackGroupOperation	acs:ros:cn-hangzhou:$accountid:stack_group_operation/*
ListStackGroupOperations	ros:ListStackGroupOperations	acs:ros:cn-hangzhou:$accountid:stack_group_operation/*
ListStackGroupOperationResults	ros:ListStackGroupOperationResults	acs:ros:cn-hangzhou:$accountid:stack_group_operation/*
StopStackGroupOperation	ros:StopStackGroupOperation	acs:ros:cn-hangzhou:$accountid:stack_group_operation/*

Operasi Template

API	Action	Format ARN
GenerateTemplatePolicy	ros:GenerateTemplatePolicy	acs:ros:cn-hangzhou:$accountid:template/$templateid Catatan Jika parameter TemplateId ditentukan, autentikasi diperlukan.
CreateTemplate	ros:CreateTemplate	acs:ros:cn-hangzhou:$accountid:template/*
ValidateTemplate	ros:ValidateTemplate	Tidak memerlukan autentikasi
UpdateTemplate	ros:UpdateTemplate	acs:ros:cn-hangzhou:$accountid:template/$templateid
GetTemplate	ros:GetTemplate	acs:ros:cn-hangzhou:$accountid:stack/$stackid acs:ros:$regionid:$accountid:stack_group/* acs:ros:cn-hangzhou:$accountid:template/$templateid
GetTemplateEstimateCost	ros:GetTemplateEstimateCost	acs:ros:cn-hangzhou:$accountid:*
GetTemplateSummary	ros:GetTemplateSummary	acs:ros:cn-hangzhou:$accountid:template/$templateid Catatan Jika parameter TemplateId ditentukan, autentikasi diperlukan.
ListTemplates	ros:ListTemplates	acs:ros:cn-hangzhou:$accountid:template/*
ListTemplateVersions	ros:ListTemplateVersions	acs:ros:cn-hangzhou:$accountid:template/$templateid
SetTemplatePermission	ros:SetTemplatePermission	acs:ros:cn-hangzhou:$accountid:*
DeleteTemplate	ros:DeleteTemplate	acs:ros:cn-hangzhou:$accountid:template/$templateid

Operasi Tag

API	Action	Format ARN
ListTagResources	ros:ListTagResources	acs:ros:cn-hangzhou:$accountid:tag/*
ListTagKeys	ros:ListTagKeys	acs:ros:cn-hangzhou:$accountid:tag/*
ListTagValues	ros:ListTagValues	acs:ros:cn-hangzhou:$accountid:tag/*
UntagResources	ros:UntagResources	acs:ros:cn-hangzhou:$accountid:tag/*

Operasi Lainnya

API	Action	Format ARN
DescribeRegions	ros:DescribeRegions	Tidak memerlukan autentikasi
SignalResource	ros:SignalResource	acs:ros:cn-hangzhou:$accountid:stack/$stackid
GetStackPolicy	ros:GetStackPolicy	acs:ros:cn-hangzhou:$accountid:stack/$stackid
SetStackPolicy	ros:SetStackPolicy	acs:ros:cn-hangzhou:$accountid:stack/$stackid