ListStackOperationRisks による削除前の ROS スタックリスク特定 - ROS - Alibaba Cloud -

スタックの操作リスクを検出し、不足している権限とリスクの原因を返します。

操作説明

ListStackOperationRisks オペレーションは、次のシナリオに適しています。

リソースを含むスタックを削除する際に、リソースに発生しうる高リスクを検出し、各リソースのリスク原因を確認する場合。
スタックを作成する際に、処理が失敗する可能性があります。この場合、このオペレーションを呼び出して、スタックの作成に必要な権限のうち、どの権限が不足しているかを確認できます。

今すぐお試しください

この API を OpenAPI Explorer でお試しください。手作業による署名は必要ありません。呼び出しに成功すると、入力したパラメーターに基づき、資格情報が組み込まれた SDK コードが自動的に生成されます。このコードをダウンロードしてローカルで使用できます。

テスト

RAM 認証

下表に、この API を呼び出すために必要な認証情報を示します。認証情報は、RAM (Resource Access Management) ポリシーを使用して定義できます。以下で各列名について説明します。

アクション：特定のリソースに対して実行可能な操作。ポリシー構文ではAction要素として指定します。
API：アクションを具体的に実行するための API。
アクセスレベル：各 API に対して事前定義されているアクセスの種類。有効な値：create、list、get、update、delete。
リソースタイプ：アクションが作用するリソースの種類。リソースレベルでの権限をサポートするかどうかを示すことができます。ポリシーの有効性を確保するため、アクションの対象として適切なリソースを指定してください。
- リソースレベルの権限を持つ API の場合、必要なリソースタイプはアスタリスク (*) でマークされます。ポリシーのResource要素で対応する ARN を指定してください。
- リソースレベルの権限を持たない API の場合、「すべてのリソース」と表示され、ポリシーのResource要素でアスタリスク (*) でマークされます。
条件キー：サービスによって定義された条件のキー。このキーにより、きめ細やかなアクセス制御が可能になります。この制御は、アクション単体に適用することも、特定のリソースに対するアクションに適用することもできます。Alibaba Cloud は、サービス固有の条件キーに加えて、すべての RAM 統合サービスに適用可能な一連の共通条件キーを提供しています。
依存アクション：ある特定のアクションを実行するために、前提として実行が必要となる他のアクション。依存アクションの権限も RAM ユーザーまたは RAM ロールに付与する必要があります。

アクション

アクセスレベル

リソースタイプ

条件キー

依存アクション

ros:ListStackOperationRisks

get

*stack

acs:ros:{#regionId}:{#accountId}:stack/{#stackId}

なし

リクエストパラメーター

パラメーター	型	必須 / 任意	説明	例
RegionId	string	必須	スタックが属するリージョンの ID。 DescribeRegions API を呼び出して、最新のリージョンリストを取得できます。	cn-hangzhou
StackId	string	任意	スタックの ID。	4a6c9851-3b0f-4f5f-b4ca-a14bf691****
OperationType	string	任意	リスクを検出する操作のタイプ。有効な値： DeleteStack：スタック削除時に、リソースで発生しうる高リスクを検出します。 CreateStack：スタック作成失敗時に、不足している権限を検出します。	DeleteStack
ClientToken	string	任意	リクエストのべき等性を確保するために使用されるクライアントトークン。クライアントで生成するトークンは、リクエスト間で一意である必要があります。トークンは最大 64 文字で、英字、数字、ハイフン (-)、アンダースコア (_) が使用可能です。詳細については、「べき等性を確保する方法」をご参照ください。	123e4567-e89b-12d3-a456-42665544****
RamRoleName	string	任意	RAM ロールの名前。 RAM ロールを指定した場合、ROS は RAM ロールに付与された権限に基づいてスタックを作成し、RAM ロールの認証情報を使用して Alibaba Cloud サービスの API を呼び出します。 RAM ロールを指定しない場合、ROS は Alibaba Cloud アカウントの権限に基づいてスタックを作成します。 RAM ロールの名前は、最大 64 バイトです。	test-role
RetainAllResources	boolean	任意	スタック内のすべてのリソースを保持するかどうかを指定します。有効な値： true false (デフォルト) 説明このパラメーターは、OperationType が DeleteStack の場合にのみ有効です。	false
RetainResources	array	任意	保持するリソースのリスト。説明このパラメーターは、OperationType が DeleteStack の場合にのみ有効です。	WebServer
	string	任意	保持するリソース。	instance
TemplateBody	string	任意	テンプレート本文の構造。長さは 1～524,288 バイトである必要があります。テンプレートがこの上限を超える場合は、URL が長すぎることによるリクエスト失敗を避けるため、HTTP POST リクエストの本文にパラメーターを含めることを推奨します。説明 TemplateBody、TemplateURL、TemplateId、TemplateScratchId のいずれか 1 つのパラメーターのみを指定する必要があります。	{"ROSTemplateFormatVersion":"2015-09-01"}
TemplateURL	string	任意	テンプレート本文を含むファイルの URL。URL は、HTTP または HTTPS Web サーバー、あるいは Object Storage Service (OSS) バケット (例：oss://ros/stack-policy/demo、oss://ros/stack-policy/demo?RegionId=cn-hangzhou) にあるテンプレートを指している必要があります。テンプレート本文の長さは 1～524,288 バイトである必要があります。URL に RegionId を指定しない場合は、スタックのリージョン ID が使用されます。説明 TemplateBody、TemplateURL、TemplateId、TemplateScratchId のいずれか 1 つのパラメーターのみを指定する必要があります。	oss://ros-template/demo
TemplateId	string	任意	テンプレートの ID。このパラメーターは、共有テンプレートとプライベートテンプレートに適用されます。説明 TemplateBody、TemplateURL、TemplateId、TemplateScratchId のいずれか 1 つのパラメーターのみを指定する必要があります。	5ecd1e10-b0e9-4389-a565-e4c15efc****
TemplateVersion	string	任意	テンプレートのバージョン。説明このパラメーターは、TemplateId を指定した場合にのみ有効です。	v1

レスポンスフィールド

フィールド	型	説明	例
	object
RequestId	string	リクエストの ID です。	72108E7A-E874-4A5E-B22C-A61E94AD12CD
RiskResources	array<object>	リスクがあるリソースです。
	object
LogicalResourceId	string	リソースの論理 ID です。論理 ID は、テンプレートで定義されているリソース名です。	MySG
PhysicalResourceId	string	リソースの物理 ID です。物理 ID は、リソースの実際の ID です。	sg-bp1dpioafqphedg9****
RequestId	string	リスク検出が失敗した場合に返されるリクエスト ID です。説明リスク検出が成功した場合、このパラメーターは返されません。	DF4296CF-F45F-4845-A72B-BE617601DB25
ResourceType	string	リソースタイプです。	ALIYUN::ECS::SecurityGroup
Code	string	リスク検出に失敗した場合に返されるエラーコードです。説明リスク検出が成功した場合、このパラメーターは返されません。	NoPermission
Message	string	リスク検出に失敗した場合に返されるエラーメッセージです。説明リスク検出が成功した場合、このパラメーターは返されません。	You are not authorized to complete this action.
RiskType	string	リスクのタイプです。有効な値： Referenced：リソースが他のリソースから参照されています。 MaybeReferenced：リソースが他のリソースから参照されている可能性があります。 AdditionalRiskCheckRequired：ネストされたスタックに対して追加のリスク検出が必要です。 OperationIgnored：このオペレーションは、このリソースに対して有効ではありません。	Referenced
Reason	string	リスクの原因です。	There are some ECS instances (i-bp18el96s4wq635e****) depending on the security group.
MissingPolicyActions	array	呼び出し元の Alibaba Cloud アカウントに権限が付与されていないオペレーションの一覧です。
	string	呼び出し元の Alibaba Cloud アカウントに権限が付与されていないオペレーションです。	["ecs:DescribeInstance", "ros:CreateStack"]

例

成功レスポンス

JSONJSON

{
  "RequestId": "72108E7A-E874-4A5E-B22C-A61E94AD12CD",
  "RiskResources": [
    {
      "LogicalResourceId": "MySG",
      "PhysicalResourceId": "sg-bp1dpioafqphedg9****",
      "RequestId": "DF4296CF-F45F-4845-A72B-BE617601DB25",
      "ResourceType": "ALIYUN::ECS::SecurityGroup",
      "Code": "NoPermission",
      "Message": "You are not authorized to complete this action.",
      "RiskType": "Referenced",
      "Reason": "There are some ECS instances (i-bp18el96s4wq635e****) depending on the security group."
    }
  ],
  "MissingPolicyActions": [
    "[\"ecs:DescribeInstance\", \"ros:CreateStack\"]"
  ]
}

エラーコード

完全なリストについては、「エラーコード」をご参照ください。

変更履歴

完全なリストについては、「変更履歴」をご参照ください。