託管安全性群組是雲產品系統為保障服務可用性而建立的安全性群組。在多使用者、多團隊共用雲資源的環境中,託管安全性群組能夠有效防止使用者誤操作導致的故障或安全風險,從而提高雲產品整體的穩定性和安全性。本文主要介紹託管安全性群組的概念,以及相關OpenAPI許可權的說明。
背景資訊
在託管模式下,安全性群組被稱為託管安全性群組。這種模式旨在解決部分雲產品(如網路負載平衡NLB、辦公安全平台SASE等)的安全性群組操作許可權控制問題。託管安全性群組由雲產品系統進行管理,您只擁有查看許可權,沒有操作許可權。詳細說明如下:
建立託管安全性群組的方式是阿里雲雲產品通過阿里雲臨時安全性權杖(Security Token Service,STS)授權您的帳號的RAM角色自動進行的。關於STS的更多資訊,請參見什麼是STS。
通過雲產品控制台:您不能操作託管安全性群組,僅能在控制台介面查看託管安全性群組的相關資訊。
通過OpenAPI訪問託管安全性群組:您僅能調用查詢介面。如果您叫用作業安全性群組相關的介面,將提示您該安全性群組為雲產品系統管理的安全性群組,您無法操作,即返回包含錯誤碼
InvalidOperation.ResourceManagedByCloudProduct的錯誤資訊。具體許可權,請參見託管安全性群組的OpenAPI許可權說明。
您可以使用DescribeSecurityGroups介面查詢到安全性群組的ServiceManaged屬性為True,或使用控制台看到安全性群組有類似雲產品託管的安全性群組不支援修改操作的提示時,表示該安全性群組為託管安全性群組。
託管安全性群組的OpenAPI許可權說明
下表中×表示不支援操作;√表示支援操作。
API | 操作 | 您的阿里雲帳號 | 建立託管安全的雲產品系統 |
| × | √ | |
| × | √ | |
刪除安全性群組入方向規則 | × | √ | |
刪除安全性群組出方向規則 | × | √ | |
加入安全性群組 | × | √ | |
離開安全性群組 | × | √ | |
刪除安全性群組 | × | √ | |
修改安全性群組 | × | √ | |
修改安全性群組入方向規則 | × | √ | |
修改安全性群組出方向規則 | × | √ | |
修改安全性群組策略 | × | √ | |
查詢安全性群組規則 | √ | √ | |
查詢安全性群組列表 | √ | √ | |
查詢安全性群組和其他哪些安全性群組有安全性群組層級的授權行為 | √ | √ | |
建立彈性網卡 | × | √ | |
修改彈性網卡 | × | √ | |
大量建立執行個體 | × | √ | |
建立執行個體 | × | √ | |
修改執行個體的安全性群組 | × | √ |