管理対象セキュリティグループは、管理モードで作成されるセキュリティグループです。 これらのセキュリティグループは、クラウドサービスの可用性を確保し、リソースに対する予期しない操作を防ぐために使用されます。 セキュリティグループを必要とするクラウドサービスを使用する場合、セキュリティグループはクラウドサービスの管理モードで作成されます。 このトピックでは、マネージドセキュリティグループと関連する権限について説明します。
背景情報
管理モードのセキュリティグループは、管理セキュリティグループです。 管理モードは、cloud FirewallやNAT Gatewayなどの一部のクラウドサービスのセキュリティグループに対する操作権限を制御するために使用されます。
管理対象セキュリティグループは、クラウドサービスシステムによって管理されます。 管理対象のセキュリティグループは表示できますが、これらのセキュリティグループに対する操作は実行できません。
次の説明は、管理セキュリティグループに適用できます。
注 Alibaba Cloudサービスは、Security Token Service (STS) を使用して、アカウントのRAMロールにアクセス許可を付与し、マネージドセキュリティグループを作成します。
詳細については、「概要」をご参照ください。
- クラウドサービスコンソールでは、管理されたセキュリティグループに対する操作は実行できませんが、その情報は表示できます。
- OpenAPIを使用してマネージドセキュリティグループにアクセスする場合、クエリ操作のみを呼び出すことができます。 マネージドセキュリティグループのセキュリティグループを管理するために使用される操作を呼び出すと、
InvalidOperation.ResourceManagedByCloudProduct
エラーコードを含むエラーメッセージが返されます。 エラーメッセージは、セキュリティグループがクラウドサービスシステムによって管理されており、このセキュリティグループに対して操作を実行できないことを示しています。 詳細については、「マネージドセキュリティグループに関連するAPI操作に対する権限」をご参照ください。
DescribeSecurityGroups 操作を呼び出し、レスポンスでServiceManaged
パラメーターとServiceID
パラメーターを表示して、セキュリティグループが管理対象セキュリティグループであるかどうかを確認できます。
マネージドセキュリティグループに関連するAPI操作に対する権限
API | API 操作 | Alibaba Cloudアカウントで実行できます | 管理セキュリティグループが作成されたクラウドサービスシステムで実行できる |
---|---|---|---|
AuthorizeSecurityGroup |
|
任意 | 必須 |
AuthorizeSecurityGroupEgress |
|
任意 | 必須 |
RevokeSecurityGroup | セキュリティグループからインバウンドルールを削除します。 | 任意 | 必須 |
RevokeSecurityGroupEgress | セキュリティグループからアウトバウンドルールを削除します。 | 任意 | 必須 |
JoinSecurityGroup | セキュリティグループにリソースを追加します。 | 任意 | 必須 |
LeaveSecurityGroup | セキュリティグループからリソースを削除します。 | 任意 | 必須 |
DeleteSecurityGroup | セキュリティグループを削除します。 | 任意 | 必須 |
ModifySecurityGroupAttribute | セキュリティグループを変更します。 | 任意 | 必須 |
ModifySecurityGroupRule | インバウンドセキュリティグループルールの説明を変更します。 | 任意 | 必須 |
ModifySecurityGroupEgressRule | アウトバウンドセキュリティグループルールの説明を変更します。 | 任意 | 必須 |
ModifySecurityGroupPolicy | セキュリティグループポリシーを変更します。 | 任意 | 必須 |
DescribeSecurityGroupAttribute | セキュリティグループルールを照会します。 | 必須 | 必須 |
DescribeSecurityGroups | セキュリティグループを照会します。 | 必須 | 必須 |
DescribeSecurityGroupReferences | セキュリティグループが他のセキュリティグループによって参照されているかどうかを照会します。 | 必須 | 必須 |
CreateNetworkInterface | elastic network interface (ENI) を作成します。 | 任意 | 必須 |
ModifyNetworkInterfaceAttribute | ENIを変更します。 | 任意 | 必須 |
RunInstances | 1つ以上のインスタンスを作成します。 | 任意 | 必須 |
CreateInstance | インスタンスを作成します。 | 任意 | 必須 |
ModifyInstanceAttribute | インスタンスが属するセキュリティグループを変更します。 | 任意 | 必須 |