RAM鉴权 - 云监控

RAM用户调用云监控API前，需要所属的阿里云账号将权限策略授予对应的RAM用户。

资源（Resource）

云监控只支持操作级别的鉴权，不支持资源级别的鉴权。Resource用*表示。

操作（Action）

云监控的Action包括云监控自身的Action和云监控关联云服务实例的Action。因为云监控的监控数据从云监控关联云服务的资源中获得，所以这两部分授权缺一不可。如果缺少云监控关联云服务实例的Action，会导致无权限查看实例列表，进而不能查看实例的监控数据，并设置报警。

如果没有特殊需求，建议您使用访问控制（RAM）提供的默认系统策略：管理云监控的权限（AliyunCloudMonitorFullAccess）和只读访问云监控的权限（AliyunCloudMonitorReadOnlyAccess）。这两个系统策略中包含了云监控数据读取和管理权限，以及云监控关联云服务实例读取的权限。

如果系统策略不能满足您的需求，您可以自定义权限策略。自定义权限策略格式为通配符标识前缀*，例如：cms:Describe*。

管理云监控权限的Action为cms:*。
只读访问云监控权限的Action如下：
- cms:Get*
- cms:List*
- cms:Query*
- cms:BatchQuery*
- cms:Describe*
- cms:Cursor
- cms:BatchGet

查询云监控关联云服务实例列表的Action如下表所示。

说明由于接入云监控的云服务逐步增加，下表仅列举了主要云服务的Action。


云服务名称	Action
云服务器ECS	`ecs:DescribeInstances`
云数据库RDS	`rds:DescribeDBInstances`
云数据库RDS	`rds:DescribeReplicas`
负载均衡SLB	`DescribeLoadBalancer*`
专有网络VPC	`vpc:DescribeEipAddresses`
	`vpc:DescribeRouterInterfaces`
	`vpc:DescribeGlobalAccelerationInstances`
	`vpc:DescribeVpnGateways`
	`vpc:DescribeNatGateways`
	`vpc:DescribeBandwidthPackages`
	`vpc:DescribeCommonBandwidthPackages`
对象存储OSS	`oss:ListBuckets`
日志服务SLS	`log:ListProject`
CDN	`cdn:DescribeUserDomains`
消息服务MNS	`mns:ListQueue`
消息服务MNS	`mns:ListTopic`
弹性伸缩ESS	`ess:DescribeScalingGroups`
云数据库Memcache版	`ocs:DescribeInstances`
云数据库Redis版	`kvstore:DescribeInstances`
云数据库Redis版	`kvstore:DescribeLogicInstanceTopology`
云数据库HBase版	`hbase:DescribeClusterList`
时间序列数据库TSDB	`hitsdb:DescribeHiTSDBInstanceList`
HybridDB for MySQL	`petadata:DescribeInstances`
HybridDB for MySQL	`petadata:DescribeDatabases`
云原生数据仓库 AnalyticDB PostgreSQL版	`gpdb:DescribeDBInstances`
E-MapReduce	`emr:ListClusters`
开放搜索	`opensearch:ListApps`
阿里云Elasticsearch	`elasticsearch:ListInstance`
云数据库MongoDB版	`mongodb:DescribeDBInstances`
NAT网关	`netgateway:DescribeNatGateways`
DDoS高防	`ddos:DescribeInstancePage`
云企业网CEN	`cen:DescribeCens`
云企业网CEN	`cen:DescribeCenAttachedChildInstances`
消息队列Kafka版	`kafka:GetKafkaInstanceList`
SCDN	`scdn:DescribeScdnUserDomains`
全站加速	`dcdn:DescribeDcdnUserDomains`
云数据库PolarDB	`polardb:DescribeDBInstances`

如果您仅需要对个别API授权，大多数API的Action格式为cms:{API名称}，例如：只授权调用CreateMonitorGroupNotifyPolicy，Action为cms:CreateMonitorGroupNotifyPolicy。少数API的Action不符合上述规则，具体如下表所示。


API	Action
CreateHybridMonitorNamespace	cms:CreateCustomNamespace
DeleteHybridMonitorNamespace	cms:DeleteCustomNamespace
PutCustomEvent	cms:PutEvent
DescribeMetricTop	cms:QueryMetricTop
DescribeMetricList	cms:QueryMetricList
DescribeMetricLast	cms:QueryMetricLast
DescribeMetricData	cms:QueryMetricData
DescribeMetricEventList	cms:QueryEvent