在使用RAM用户(子账号)调用Anycast EIP API前,需要阿里云账号(主账号)通过创建授权策略对RAM用户进行授权。在授权策略中,使用资源描述符(Alibaba Cloud Resource Name, ARN)指定授权资源。

表 1. 可授权的Anycast EIP资源类型
资源类型 描述 授权策略中的资源描述方式(ARN格式)
anycast 代表Anycast EIP资源

acs:eipanycast:{#regionId}:{#accountId}:anycast/*

acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}

API鉴权规则

当RAM用户通过API进行资源访问时,后台向RAM进行权限检查,以确保调用者拥有响应权限。

每个不同的API会根据涉及到的资源以及API的语义来确定需要检查哪些资源的权限。具体地,每个API的鉴权规则见下表。

表 2. 鉴权规则
鉴权Action 鉴权规则
eipanycast:AllocateAnycastEipAddress acs:eipanycast:{#regionId}:{#accountId}:anycast/*
eipanycast:ModifyAnycastEipAddressAttribute acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
eipanycast:ModifyAnycastEipAddressSpec acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
eipanycast:ReleaseAnycastEipAddress acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
eipanycast:AssociateAnycastEipAddress

acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}

acs:slb:{#regionId}:{#accountId}:loadbalancer/{#loadbalancerId}

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}
eipanycast:UnassociateAnycastEipAddress

acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}

acs:slb:{#regionId}:{#accountId}:loadbalancer/{#loadbalancerId}

acs:ecs:{#regionId}:{#accountId}:instance/{#instanceId}
eipanycast:DescribeAnycastEipAddress acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}
eipanycast:ListAnycastEipAddresses acs:eipanycast:{#regionId}:{#accountId}:anycast/*
eipanycast:DescribeAnycastPopLocations 无需鉴权
eipanycast:DescribeAnycastServerRegions 无需鉴权
eipanycast:UpdateAnycastEipAddressAssociations acs:eipanycast:{#regionId}:{#accountId}:anycast/{#anycastId}