管理対象セキュリティグループは、管理モードで作成されるセキュリティグループです。 これらのセキュリティグループは、クラウドサービスの可用性を確保し、リソースに対する予期しない操作を防ぐために使用されます。 セキュリティグループを必要とするクラウドサービスを使用する場合、セキュリティグループはクラウドサービスの管理モードで作成されます。 このトピックでは、マネージドセキュリティグループと関連する権限について説明します。
背景情報
管理モードのセキュリティグループは、管理セキュリティグループです。 管理モードは、cloud FirewallやNAT Gatewayなどの一部のクラウドサービスのセキュリティグループに対する操作権限を制御するために使用されます。
管理対象セキュリティグループは、クラウドサービスシステムによって管理されます。 管理対象のセキュリティグループは表示できますが、これらのセキュリティグループに対する操作は実行できません。
次の説明は、管理セキュリティグループに適用できます。
注 Alibaba Cloudサービスは、Security Token Service (STS) を使用して、アカウントのRAMロールにアクセス許可を付与し、マネージドセキュリティグループを作成します。
詳細については、「概要」をご参照ください。
- クラウドサービスコンソールでは、管理されたセキュリティグループに対する操作は実行できませんが、その情報は表示できます。
- OpenAPIを使用してマネージドセキュリティグループにアクセスする場合、クエリ操作のみを呼び出すことができます。 マネージドセキュリティグループのセキュリティグループを管理するために使用される操作を呼び出すと、
InvalidOperation.ResourceManagedByCloudProductエラーコードを含むエラーメッセージが返されます。 エラーメッセージは、セキュリティグループがクラウドサービスシステムによって管理されており、このセキュリティグループに対して操作を実行できないことを示しています。 詳細については、「マネージドセキュリティグループに関連するAPI操作に対する権限」をご参照ください。
DescribeSecurityGroups 操作を呼び出し、レスポンスでServiceManagedパラメーターとServiceIDパラメーターを表示して、セキュリティグループが管理対象セキュリティグループであるかどうかを確認できます。
マネージドセキュリティグループに関連するAPI操作に対する権限
| API | API 操作 | Alibaba Cloudアカウントで実行できます | 管理セキュリティグループが作成されたクラウドサービスシステムで実行できる |
|---|---|---|---|
| AuthorizeSecurityGroup |
|
任意 | 必須 |
| AuthorizeSecurityGroupEgress |
|
任意 | 必須 |
| RevokeSecurityGroup | セキュリティグループからインバウンドルールを削除します。 | 任意 | 必須 |
| RevokeSecurityGroupEgress | セキュリティグループからアウトバウンドルールを削除します。 | 任意 | 必須 |
| JoinSecurityGroup | セキュリティグループにリソースを追加します。 | 任意 | 必須 |
| LeaveSecurityGroup | セキュリティグループからリソースを削除します。 | 任意 | 必須 |
| DeleteSecurityGroup | セキュリティグループを削除します。 | 任意 | 必須 |
| ModifySecurityGroupAttribute | セキュリティグループを変更します。 | 任意 | 必須 |
| ModifySecurityGroupRule | インバウンドセキュリティグループルールの説明を変更します。 | 任意 | 必須 |
| ModifySecurityGroupEgressRule | アウトバウンドセキュリティグループルールの説明を変更します。 | 任意 | 必須 |
| ModifySecurityGroupPolicy | セキュリティグループポリシーを変更します。 | 任意 | 必須 |
| DescribeSecurityGroupAttribute | セキュリティグループルールを照会します。 | 必須 | 必須 |
| DescribeSecurityGroups | セキュリティグループを照会します。 | 必須 | 必須 |
| DescribeSecurityGroupReferences | セキュリティグループが他のセキュリティグループによって参照されているかどうかを照会します。 | 必須 | 必須 |
| CreateNetworkInterface | elastic network interface (ENI) を作成します。 | 任意 | 必須 |
| ModifyNetworkInterfaceAttribute | ENIを変更します。 | 任意 | 必須 |
| RunInstances | 1つ以上のインスタンスを作成します。 | 任意 | 必須 |
| CreateInstance | インスタンスを作成します。 | 任意 | 必須 |
| ModifyInstanceAttribute | インスタンスが属するセキュリティグループを変更します。 | 任意 | 必須 |