在您开通容器服务时,需要为服务账号授予系统默认角色,当且仅当该角色被正确授予后,容器服务才能正常地调用相关服务(ECS,OSS、NAS、SLB等),创建集群以及保存日志等。本文介绍容器服务ACK默认角色包含的权限。
角色权限内容
容器服务ACK包含的默认角色说明如下表所示。
AliyunCSDefaultRole
ACK在集群操作时默认使用AliyunCSDefaultRole角色来访问您在其他云产品中的资源。
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:RunInstances | 启动ECS实例。 |
| ecs:RenewInstance | ECS实例续费。 |
| ecs:Create* | 创建ECS相关资源,如实例、磁盘等。 |
| ecs:AllocatePublicIpAddress | 分配公网IP地址。 |
| ecs:AllocateEipAddress | 分配EIP地址。 |
| ecs:Delete* | 删除机器实例。 |
| ecs:StartInstance | 启动ECS相关资源。 |
| ecs:StopInstance | 停止机器实例。 |
| ecs:RebootInstance | 重启机器实例。 |
| ecs:Describe* | 查询ECS相关资源。 |
| ecs:AuthorizeSecurityGroup | 设置安全组入规则。 |
| ecs:RevokeSecurityGroup | 撤销安全组规则。 |
| ecs:AuthorizeSecurityGroupEgress | 设置安全组出规则。 |
| ecs:AttachDisk | 添加磁盘。 |
| ecs:DetachDisk | 清理磁盘。 |
| ecs:WaitFor* | 任务执行等待。 |
| ecs:AddTags | 添加标签。 |
| ecs:ReplaceSystemDisk | 更换ECS实例的系统盘。 |
| ecs:ModifyInstanceAttribute | 修改实例属性。 |
| ecs:JoinSecurityGroup | 将实例加入到指定的安全组。 |
| ecs:LeaveSecurityGroup | 将实例移出指定的安全组。 |
| ecs:UnassociateEipAddress | 解绑弹性公网IP。 |
| ecs:ReleaseEipAddress | 释放弹性公网IP。 |
| ecs:CreateKeyPair | 创建一对SSH密钥对。 |
| ecs:ImportKeyPair | 导入由其他工具产生的RSA密钥对的公钥部分。 |
| ecs:AttachKeyPair | 绑定一个SSH密钥对到一台或多台Linux实例。 |
| ecs:DetachKeyPair | 为一台或者多台Linux实例解绑SSH密钥对。 |
| ecs:DeleteKeyPairs | 删除一对或者多对SSH密钥对。 |
| ecs:AttachInstanceRamRole | 为一台或多台ECS实例授予实例RAM角色。 |
| ecs:DetachInstanceRamRole | 收回一台或多台ECS实例的实例RAM角色。 |
| ecs:AllocateDedicatedHosts | 创建一台或多台按量付费或者包年包月专有宿主机。 |
| ecs:CreateOrder | 创建ECS实例订单。 |
| ecs:DeleteInstance | 释放一台按量付费实例或者到期的包年包月实例。 |
| ecs:CreateDisk | 创建一块按量付费或包年包月数据盘。 |
| ecs:Createvpc | 创建ECS关联VPC。 |
| ecs:Deletevpc | 删除ECS关联VPC。 |
| ecs:DeleteVSwitch | 删除ECS关联交换机。 |
| ecs:ResetDisk | 使用磁盘的历史快照回滚至某一阶段的磁盘状态。 |
| ecs:DeleteSnapshot | 删除指定的快照。 |
| ecs:AllocatePublicIpAddress | 为一台ECS实例分配一个公网IP地址。 |
| ecs:CreateVSwitch | 创建ECS关联交换机。 |
| ecs:DeleteSecurityGroup | 删除一个安全组。 |
| ecs:CreateImage | 创建一份自定义镜像。 |
| ecs:RemoveTags | 删除ECS实例标签。 |
| ecs:ReleaseDedicatedHost | 释放一台按量付费专有宿主机。 |
| ecs:CreateInstance | 创建一台包年包月或者按量付费ECS实例。 |
| ecs:RevokeSecurityGroupEgress | 删除一条安全组出方向规则,撤销安全组出方向的访问权限。 |
| ecs:DeleteDisk | 释放一块按量付费数据盘。 |
| ecs:StopInstance | 停止运行一台实例。 |
| ecs:CreateSecurityGroup | 新建一个安全组。 |
| ecs:RevokeSecurityGroup | 删除一条安全组入方向规则,撤销安全组入方向的权限设置。 |
| ecs:DeleteImage | 删除一份自定义镜像。 |
| ecs:ModifyInstanceSpec | 调整一台按量付费ECS实例的实例规格和公网带宽大小。 |
| ecs:CreateSnapshot | 为一块云盘创建一份快照。 |
| ecs:CreateCommand | 新建一条云助手命令。 |
| ecs:InvokeCommand | 为一台或多台ECS实例触发一条云助手命令。 |
| ecs:StopInvocation | 停止一台或多台ECS实例中一条正在进行中(Running)的云助手命令进程。 |
| ecs:DeleteCommand | 删除一条云助手命令。 |
| ecs:RunCommand | 新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。 |
| ecs:DescribeInvocationResults | 查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。 |
| ecs:ModifyCommand | 修改一条云助手命令。 |
VPC相关权限
| 权限名称(Action) | 说明 |
|---|
| vpc:Describe* | 查询VPC相关资源的信息。 |
| vpc:AllocateEipAddress | 分配EIP地址。 |
| vpc:AssociateEipAddress | 关联EIP地址。 |
| vpc:UnassociateEipAddress | 不关联EIP地址。 |
| vpc:ReleaseEipAddress | 释放弹性公网IP。 |
| vpc:CreateRouteEntry | 创建路由接口。 |
| vpc:DeleteRouteEntry | 删除路由接口。 |
| vpc:CreateVSwitch | 创建交换机。 |
| vpc:DeleteVSwitch | 删除交换机。 |
| vpc:CreateVpc | 创建一个VPC。 |
| vpc:DeleteVpc | 删除一个VPC。 |
| vpc:CreateNatGateway | 创建一个NAT网关。 |
| vpc:DeleteNatGateway | 删除指定的NAT网关。 |
| vpc:CreateSnatEntry | 在SNAT列表中添加SNAT条目。 |
| vpc:DeleteSnatEntry | 删除指定的SNAT条目。 |
| vpc:ModifyEipAddressAttribute | 修改指定EIP的名称、描述信息和带宽峰值。 |
| vpc:CreateForwardEntry | 在DNAT列表中添加DNAT条目。 |
| vpc:DeleteBandwidthPackage | 创建指定的NAT带宽包。 |
| vpc:CreateBandwidthPackage | 删除指定的NAT带宽包。 |
| vpc:DeleteForwardEntry | 删除指定的DNAT条目。 |
| vpc:TagResources | 为指定的资源统一创建并绑定标签。 |
| vpc:DeletionProtection | 置实例删除保护功能。 |
SLB相关权限
| 权限名称(Action) | 说明 |
|---|
| slb:Describe* | 查询负载均衡相关信息。 |
| slb:CreateLoadBalancer | 创建负载均衡实例。 |
| slb:DeleteLoadBalancer | 删除负载均衡实例。 |
| slb:RemoveBackendServers | 解绑负载均衡实例。 |
| slb:StartLoadBalancerListener | 启动指定的监听服务。 |
| slb:StopLoadBalancerListener | 停止指定的监听服务。 |
| slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于TCP协议的监听规则。 |
| slb:AddBackendServers | 添加后端服务器。 |
| slb:CreateVServerGroup | 创建虚拟服务器组,并添加后端服务器。 |
| slb:CreateLoadBalancerHTTPSListener | 为负载均衡实例创建基于HTTPS协议的监听。 |
| slb:CreateLoadBalancerUDPListener | 创建UDP监听。 |
| slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
| slb:SetBackendServers | 配置后端服务器,为负载均衡实例后端的一组服务器(ECS实例)配置权重值。 |
| slb:AddVServerGroupBackendServers | 向指定的后端服务器组中添加后端服务器。 |
| slb:DeleteVServerGroup | 删除服务器组。 |
| slb:ModifyVServerGroupBackendServers | 替换服务器组中的后端服务器。 |
| slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于HTTP协议的监听。 |
| slb:RemoveVServerGroupBackendServers | 从指定的后端服务器组中移除后端服务器。 |
| slb:DeleteLoadBalancerListener | 删除负载均衡实例监听规则。 |
| slb:AddTags | 为指定的负载均衡实例添加标签。 |
| slb:RemoveTags | 解绑指定负载均衡实例下的标签。 |
| slb:SetLoadBalancerDeleteProtection | 为负载均衡实例设置删除保护。 |
DNS相关权限
| 权限名称(Action) | 说明 |
|---|
| dns:Describe* | 查询DNS相关资源。 |
| dns:AddDomainRecord | 添加域名解析记录。 |
RDS相关权限
| 权限名称(Action) | 说明 |
|---|
| rds:Describe* | 查询RDS相关资源。 |
| rds:ModifySecurityIps | 修改RDS实例IP白名单。 |
ROS相关权限
| 权限名称(Action) | 说明 |
|---|
| ros:Describe* | 获取ROS相关资源。 |
| ros:WaitConditions | ROS脚本执行等待。 |
| ros:AbandonStack | 终止Stack。 |
| ros:DeleteStack | 删除Stack。 |
| ros:CreateStack | 创建Stack。 |
| ros:UpdateStack | 更新Stack。 |
| ros:ValidateTemplate | 校验ROS模板。 |
| ros:DoActions | 执行Actions。 |
| ros:InquiryStack | 查询Stack。 |
| ros:SetDeletionProtection | 设置删除保护。 |
| ros:PreviewStack | 预览Stack。 |
ESS相关权限
| 权限名称(Action) | 说明 |
|---|
| ess:Describe* | 查询ESS相关资源。 |
| ess:CreateScalingConfiguration | 创建一个伸缩配置。 |
| ess:EnableScalingGroup | 启用一个伸缩组。 |
| ess:ExitStandby | 使伸缩组内处于备用状态的ECS实例进入运行状态。 |
| ess:DetachDBInstances | 移除一个或多个RDS实例。 |
| ess:DetachLoadBalancers | 移除一个或多个负载均衡实例。 |
| ess:AttachInstances | 从一个伸缩组关联一台或多台ECS实例。 |
| ess:DeleteScalingConfiguration | 删除一个伸缩配置。 |
| ess:AttachLoadBalancers | 添加一个或多个负载均衡实例。 |
| ess:DetachInstances | 从一个伸缩组分离一台或多台ECS实例。 |
| ess:ModifyScalingRule | 修改伸缩组规则。 |
| ess:RemoveInstances | 从指定的伸缩组里移出ECS实例。 |
| ess:ModifyScalingGroup | 修改一个伸缩组。 |
| ess:AttachDBInstances | 添加一个或多个RDS实例。 |
| ess:CreateScalingRule | 创建一条伸缩规则。 |
| ess:DeleteScalingRule | 删除一条伸缩规则。 |
| ess:ExecuteScalingRule | 执行一条伸缩规则。 |
| ess:SetInstancesProtection | 保护或者停止保护伸缩组内的一台或者多台ECS实例。 |
| ess:ModifyNotificationConfiguration | 修改一条弹性伸缩事件及资源变化通知的信息。 |
| ess:CreateNotificationConfiguration | 创建一条弹性伸缩事件及资源变化通知的信息。 |
| ess:EnterStandby | 将伸缩组内的ECS实例设置为备用状态。 |
| ess:DeleteScalingGroup | 删除一个伸缩组。 |
| ess:CreateScalingGroup | 创建一个伸缩组。 |
| ess:DeleteNotificationConfiguration | 删除一条弹性伸缩事件及资源变化通知的信息。 |
| ess:DisableScalingGroup | 禁用一个伸缩组。 |
| ModifyScalingConfiguration | 修改一个伸缩配置。 |
| SetGroupDeletionProtection | 为伸缩组开启或关闭删除保护。 |
RAM相关权限
| 权限名称(Action) | 说明 |
|---|
| ram:PassRole | RAM跨服务授权权限。 |
| ram:Get* | 获取RAM相关资源权限。 |
| ram:List* | 列举RAM相关资源权限。 |
| ram:DetachPolicyFromRole | 为角色撤销指定的权限。 |
| ram:AttachPolicyToRole | 为指定角色附加授权。 |
| ram:DeletePolicy | 删除指定权限策略。 |
| ram:DeletePolicyVersion | 删除指定版本的策略。 |
| ram:DeleteRole | 删除RAM角色。 |
| ram:CreateRole | 创建RAM角色。 |
| ram:CreatePolicy | 创建RAM策略。 |
| ram:CreateServiceLinkedRole | 创建SLR权限。 |
CMS相关权限
| 权限名称(Action) | 说明 |
|---|
| cms:CreateMyGroups | 创建个人应用分组。 |
| cms:AddMyGroupInstances | 添加个人分组内的资源实例。 |
| cms:DeleteMyGroupInstances | 删除个人分组内的资源实例。 |
| cms:DeleteMyGroups | 删除个人应用分组。 |
| cms:GetMyGroups | 获取个人应用分组。 |
| cms:ListMyGroups | 列举个人应用分组。 |
| cms:UpdateMyGroupInstances | 更新个人分组中的资源实例。 |
| cms:UpdateMyGroups | 更新个人应用分组。 |
| cms:TaskConfigCreate | 创建监控任务配置。 |
| cms:TaskConfigList | 列举监控任务配置。 |
ESS相关权限
| 权限名称(Action) | 说明 |
|---|
| ess:CreateLifecycleHook | 为伸缩组创建一个或多个生命周期挂钩。 |
| ess:DescribeLifecycleHooks | 查询生命周期挂钩。 |
| ess:ModifyLifecycleHook | 修改生命周期挂钩。 |
| ess:DeleteLifecycleHook | 删除生命周期挂钩。 |
ENS相关权限
| 权限名称(Action) | 说明 |
|---|
| ens:Describe* | 获取边缘节点服务相关资源权限。 |
| ens:CreateInstance | 创建边缘实例。 |
| ens:StartInstance | 启动边缘实例。 |
| ens:StopInstance | 停止边缘实例。 |
| ens:ReleasePrePaidInstance | 释放包年包月实例。 |
AliyunCSManagedKubernetesRole
ACK托管版集群默认使用AliyunCSManagedKubernetesRole角色来访问您在其他云产品中的资源。
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:Describe* | 查询ECS相关资源。 |
| ecs:CreateRouteEntry | 创建路由接口。 |
| ecs:DeleteRouteEntry | 删除路由接口。 |
| ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
| ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
| ecs:CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
| ecs:DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
| ecs:ModifyInstanceAttribute | 修改实例属性。 |
| ecs:AttachKeyPair | 绑定一个SSH密钥对到一台或多台Linux实例。 |
| ecs:StopInstance | 停止运行一台实例。 |
| ecs:StartInstance | 启动一台实例。 |
| ecs:ReplaceSystemDisk | 更换一台ECS实例的系统盘或者操作系统。 |
SLB相关权限
| 权限名称(Action) | 说明 |
|---|
| slb:Describe* | 查询负载均衡相关资源。 |
| slb:CreateLoadBalancer | 创建负载均衡实例。 |
| slb:DeleteLoadBalancer | 删除负载均衡实例。 |
| slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
| slb:RemoveBackendServers | 移除后端服务器。 |
| slb:AddBackendServers | 添加后端服务器。 |
| slb:RemoveTags | 解绑指定负载均衡实例下的标签。 |
| slb:AddTags | 为指定的负载均衡实例添加标签。 |
| slb:StopLoadBalancerListener | 停止监听。 |
| slb:StartLoadBalancerListener | 启动监听。 |
| slb:SetLoadBalancerHTTPListenerAttribute | 修改HTTP监听的配置。 |
| slb:SetLoadBalancerHTTPSListenerAttribute | 修改HTTPS监听的配置。 |
| slb:SetLoadBalancerTCPListenerAttribute | 修改TCP监听的配置。 |
| slb:SetLoadBalancerUDPListenerAttribute | 修改UDP协议监听的配置。 |
| slb:CreateLoadBalancerHTTPSListener | 为负载均衡实例创建基于HTTPS协议的监听。 |
| slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于HTTP协议的监听。 |
| slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于TCP协议的监听规则。 |
| slb:CreateLoadBalancerUDPListener | 创建UDP监听。 |
| slb:DeleteLoadBalancerListener | 删除负载均衡实例监听规则。 |
| slb:CreateVServerGroup | 向指定的后端服务器组中添加后端服务器。 |
| slb:DescribeVServerGroups | 查询服务器组列表。 |
| slb:DeleteVServerGroup | 删除服务器组。 |
| slb:SetVServerGroupAttribute | 修改虚拟服务器组的配置。 |
| slb:DescribeVServerGroupAttribute | 查询服务器组的详细信息。 |
| slb:ModifyVServerGroupBackendServers | 替换服务器组中的后端服务器。 |
| slb:AddVServerGroupBackendServers | 向指定的后端服务器组中添加后端服务器。 |
| slb:ModifyLoadBalancerInstanceSpec | 修改负载均衡的实例规格。 |
| slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
| slb:RemoveVServerGroupBackendServers | 从指定的后端服务器组中移除后端服务器。 |
VPC相关权限
| 权限名称(Action) | 说明 |
|---|
| vpc:Describe* | 查询VPC相关资源的信息。 |
| vpc:DeleteRouteEntry | 删除自定义路由条目。 |
| vpc:CreateRouteEntry | 创建自定义路由条目。 |
ACR相关权限
| 权限名称(Action) | 说明 |
|---|
| cr:Get* | 查询容器镜像服务相关资源。 |
| cr:List* | 查看容器镜像仓库列表。 |
| cr:PullRepository | 拉取镜像。 |
AliyunCSServerlessKubernetesRole
ASK默认使用AliyunCSServerlessKubernetesRole角色来访问您在其他云产品中的资源。
VPC相关权限
| 权限名称(Action) | 说明 |
|---|
| DescribeVSwitches | 查询已创建的交换机。 |
| DescribeVpcs | 查询已创建的VPC。 |
| AssociateEipAddress | 将弹性公网IP(EIP)绑定到同地域的云产品实例上。 |
| DescribeEipAddresses | 查询指定地域已创建的EIP。 |
| AllocateEipAddress | 申请弹性公网IP(EIP)。 |
| ReleaseEipAddress | 释放指定的弹性公网IP(EIP)。 |
| AddCommonBandwidthPackageIp | 添加EIP到共享带宽中。 |
| RemoveCommonBandwidthPackageIp | 移除共享带宽实例中的EIP。 |
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| DescribeSecurityGroups | 查询您创建的安全组的基本信息。 |
| CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
| CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
| DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
| AttachNetworkInterface | 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。 |
| DetachNetworkInterface | 从一台ECS实例上分离一个弹性网卡(ENI)。 |
| DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
| DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
SLB相关权限
| 权限名称(Action) | 说明 |
|---|
| slb:Describe* | 查询负载均衡SLB相关资源。 |
| slb:CreateLoadBalancer | 创建负载均衡实例。 |
| slb:DeleteLoadBalancer | 删除后付费的负载均衡实例。 |
| slb:RemoveBackendServers | 移除后端服务器。 |
| slb:StartLoadBalancerListener | 启动监听。 |
| slb:StopLoadBalancerListener | 停止监听。 |
| slb:DeleteLoadBalancerListener | 删除负载均衡实例监听规则。 |
| slb:CreateLoadBalancerTCPListener | 为负载均衡实例创建基于TCP协议的监听规则。 |
| slb:AddBackendServers* | 添加后端服务器。 |
| slb:UploadServerCertificate | 上传服务器证书。 |
| slb:CreateLoadBalancerHTTPListener | 为负载均衡实例创建基于HTTP协议的监听。 |
| slb:CreateLoadBalancerHTTPSListener | 为负载均衡实例创建基于HTTPS协议的监听。 |
| slb:CreateLoadBalancerUDPListener | 创建UDP监听。 |
| slb:ModifyLoadBalancerInternetSpec | 修改公网负载均衡实例的计费方式。 |
| slb:CreateRules | 为指定的HTTP或HTTPS监听添加转发规则。 |
| slb:DeleteRules | 删除转发规则。 |
| slb:SetRule | 修改目标虚拟服务器组的转发规则。 |
| slb:CreateVServerGroup | 向指定的后端服务器组中添加后端服务器。 |
| slb:SetVServerGroupAttribute | 修改虚拟服务器组的配置。 |
| slb:AddVServerGroupBackendServers | 向指定的后端服务器组中添加后端服务器。 |
| slb:RemoveVServerGroupBackendServers | 从指定的后端服务器组中移除后端服务器。 |
| slb:ModifyVServerGroupBackendServers | 替换服务器组中的后端服务器。 |
| slb:DeleteVServerGroup | 删除服务器组。 |
| slb:SetLoadBalancerTCPListenerAttribute | 修改TCP监听的配置。 |
| slb:SetLoadBalancerHTTPListenerAttribute | 修改HTTP监听的配置。 |
| slb:SetLoadBalancerHTTPSListenerAttribute | 修改HTTPS监听的配置。 |
| slb:AddTags | 为指定的负载均衡实例添加标签。 |
PVTZ(云解析)相关权限
| 权限名称(Action) | 说明 |
|---|
| AddZone | 创建私有区域。 |
| DeleteZone | 删除私有区域。 |
| DescribeZones | 查询用户的区域列表。 |
| DescribeZoneInfo | 获取指定区域的详细信息。 |
| BindZoneVpc | 绑定或者解绑区域与VPC列表两者之间的关系。 |
| AddZoneRecord | 添加私有区域的解析记录。 |
| DeleteZoneRecord | 删除解析记录。 |
| DeleteZoneRecordsByRR | 删除解析记录列表。 |
| DescribeZoneRecordsByRR | 查询解析记录列表 |
| DescribeZoneRecords | 查询解析记录列表。 |
ACR相关权限
| 权限名称(Action) | 说明 |
|---|
| Get* | 查询容器镜像服务相关资源。 |
| List* | 查看容器镜像仓库列表。 |
| PullRepository | 拉取镜像。 |
ECI相关权限
| 权限名称(Action) | 说明 |
|---|
| CreateContainerGroup | 创建一个容器组。 |
| DeleteContainerGroup | 删除一个容器组。 |
| DescribeContainerGroups | 批量获取容器组信息。 |
| DescribeContainerLog | 获取容器组日志信息。 |
| UpdateContainerGroup | 更新实例。 |
| UpdateContainerGroupByTemplate | 通过模板更新ECI实例。 |
| CreateContainerGroupFromTemplate | 通过模板创建ECI实例。 |
| RestartContainerGroup | 重启ECI实例。 |
| ExportContainerGroupTemplate | 导出用户创建ECI的模板。 |
| DescribeContainerGroupMetric | 查询一个ECI的监控信息。 |
| DescribeMultiContainerGroupMetric | 同时查询多个容器组的监控信息。 |
| ExecContainerCommand | 在容器内部执行命令。 |
| CreateImageCache | 制作镜像缓存。 |
| DescribeImageCaches | 查询镜像缓存信息。 |
| DeleteImageCache | 删除镜像缓存。 |
RAM相关权限
| 权限名称(Action) | 说明 |
|---|
| ram:PassRole | 访问CodePipeline控制台。 |
OSS相关权限
| 权限名称(Action) | 说明 |
|---|
| oss:GetObject | 获取文件或文件夹对象。 |
| oss:GetObjectMeta | 获取一个文件(Object)的元数据信息。 |
FC相关权限
| 权限名称(Action) | 说明 |
|---|
| fc:CreateService | 新建一个服务。 |
| fc:ListServices | 获取服务列表。 |
| fc:GetService | 获取指定服务。 |
| fc:UpdateService | 更新指定服务。 |
| fc:DeleteService | 删除指定服务。 |
| fc:CreateFunction | 新建一个新函数。 |
| fc:ListFunctions | 获取服务下的函数列表。 |
| fc:GetFunction | 获取指定函数的配置信息。 |
| fc:GetFunctionCode | 获取函数编码。 |
| fc:UpdateFunction | 更新函数,包括配置和代码。 |
| fc:DeleteFunction | 删除指定的函数。 |
| fc:CreateTrigger | 创建函数触发器。 |
| fc:ListTriggers | 获取函数下的触发器列表。 |
| fc:GetTrigger | 获取指定触发器。 |
| fc:UpdateTrigger | 更新指定函数触发器配置。 |
| fc:DeleteTrigger | 删除指定函数的触发器。 |
| fc:PublishServiceVersion | 发布函数计算服务版本。 |
| fc:ListServiceVersions | 列举函数计算服务版本。 |
| fc:DeleteServiceVersion | 删除函数计算服务版本。 |
| fc:CreateAlias | 创建一个别名,并且将别名与一个用户主密钥绑定。 |
| fc:ListAliases | 列出云账号在本地域的所有别名。 |
| fc:GetAlias | 获取别名信息。 |
| fc:UpdateAlias | 绑定指定别名到新的用户主密钥。 |
| fc:DeleteAlias | 删除指定别名。 |
AliyunCSKubernetesAuditRole
ACK审计功能使用AliyunCSKubernetesAuditRole角色来访问您在其他云产品中的资源。
| 权限名称(Action) | 说明 |
|---|
| log:CreateProject | 创建一个Project。 |
| log:GetProject | 根据Project名称查询Project。 |
| log:DeleteProject | 删除一个指定的Project。 |
| log:CreateLogStore | 在Project下创建Logstore。 |
| log:GetLogStore | 查看Logstore属性。 |
| log:UpdateLogStore | 更新Logstore的属性。 |
| log:DeleteLogStore | 删除Logstore。 |
| log:CreateConfig | 创建日志采集配置。 |
| log:UpdateConfig | 更新配置内容。 |
| log:GetConfig | 获取采集配置的详细信息。 |
| log:DeleteConfig | 删除指定的日志采集配置。 |
| log:CreateMachineGroup | 根据需求创建一组机器,用以日志收集下发配置。 |
| log:UpdateMachineGroup | 更新机器组信息。 |
| log:GetMachineGroup | 查看具体的MachineGroup信息。 |
| log:DeleteMachineGroup | 删除机器组。 |
| log:ApplyConfigToGroup | 将配置应用到机器组。 |
| log:GetAppliedMachineGroups | 获得机器组上已经被应用的机器列表。 |
| log:GetAppliedConfigs | 获得机器组上已经被应用的配置名称。 |
| log:RemoveConfigFromMachineGroup | 从机器组中删除配置。 |
| log:CreateIndex | 为指定Logstore创建索引。 |
| log:GetIndex | 查询指定Logstore的索引。 |
| log:UpdateIndex | 更新指定Logstore的索引。 |
| log:DeleteIndex | 删除指定Logstore的索引。 |
| log:CreateSavedSearch | 创建快速查询。 |
| log:GetSavedSearch | 查看指定快速查询。 |
| log:UpdateSavedSearch | 更新快速查询。 |
| log:DeleteSavedSearch | 删除快速查询。 |
| log:CreateDashboard | 创建仪表盘。 |
| log:GetDashboard | 查看指定仪表盘。 |
| log:UpdateDashboard | 更新仪表盘。 |
| log:DeleteDashboard | 删除仪表盘。 |
| log:CreateJob | 创建任务。例如创建告警、订阅。 |
| log:GetJob | 查询任务。 |
| log:DeleteJob | 删除任务。 |
| log:UpdateJob | 更新任务。 |
| log:PostLogStoreLogs | 向指定的Logstore写入日志数据。 |
AliyunCSManagedNetworkRole
ACK集群网络组件使用AliyunCSManagedNetworkRole角色来访问您在其他云产品中的资源。
| 权限名称(Action) | 说明 |
|---|
| ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
| ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
| ecs:AttachNetworkInterface | 附加弹性网卡(ENI)到专有网络(VPC)类型实例上。 |
| ecs:DetachNetworkInterface | 从一台实例上分离一个弹性网卡(ENI)。 |
| ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
| ecs:DescribeInstanceAttribute | 查询一台或多台ECS实例部分信息。 |
| ecs:AssignPrivateIpAddresses | 为一块弹性网卡分配一个或多个辅助私有IP地址。 |
| ecs:UnassignPrivateIpAddresses | 从一块弹性网卡删除一个或多个辅助私有IP地址。 |
| ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
| vpc:DescribeVSwitches | 查询一台或多台交换机的详细信息。 |
AliyunCSManagedCsiRole
ACK集群存储插件使用AliyunCSManagedCsiRole角色来访问您在其他云产品中的资源。
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:AttachDisk | 为一台ECS实例挂载一块按量付费数据盘,或者挂载一块系统盘。 |
| ecs:DetachDisk | 从一台实例上卸载一块按量付费磁盘。 |
| ecs:DescribeDisks | 查询一块或多块您已经创建的云盘以及本地盘。 |
| ecs:CreateDisk | 创建一块按量付费或包年包月数据盘。 |
| ecs:ResizeDisk | 扩容一块云盘,支持扩容系统盘和数据盘。 |
| ecs:CreateSnapshot | 为一块云盘创建一份快照。 |
| ecs:DeleteSnapshot | 删除指定的快照。如果需要取消正在创建的快照,也可以调用该接口删除快照,即取消创建快照任务。 |
| ecs:CreateAutoSnapshotPolicy | 创建一条自动快照策略。 |
| ecs:ApplyAutoSnapshotPolicy | 为一块或者多块云盘应用自动快照策略。 |
| ecs:CancelAutoSnapshotPolicy | 取消一块或者多块云盘的自动快照策略。 |
| ecs:DeleteAutoSnapshotPolicy | 删除一条自动快照策略。 |
| ecs:DescribeAutoSnapshotPolicyEX | 查询您已创建的自动快照策略。 |
| ecs:ModifyAutoSnapshotPolicyEx | 修改一条自动快照策略。 |
| ecs:AddTags | 为ECS节点添加标签。 |
| ecs:DescribeTags | 查询标签。 |
| ecs:DescribeSnapshots | 查询一台ECS实例或一块云盘所有的快照列表。 |
| ecs:ListTagResources | 查询一个或多个ECS资源已经绑定的标签列表。 |
| ecs:TagResources | 为指定的ECS资源列表统一创建并绑定标签。 |
| ecs:UntagResources | 为指定的ECS资源列表统一解绑并删除标签。 |
| ecs:ModifyDiskSpec | 升级一块ESSD云盘的性能等级。 |
| ecs:CreateSnapshot | 为一块云盘创建一份快照。 |
| ecs:DeleteDisk | 释放一块按量付费数据盘。 |
| ecs:DescribeInstanceAttribute | 查询实例所有的属性信息。 |
| ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
NAS相关权限
| 权限名称(Action) | 说明 |
|---|
| nas:DescribeFileSystems | 返回文件系统描述信息。 |
| nas:DescribeMountTargets | 返回挂载点描述信息。 |
| nas:AddTags | 添加或者覆盖一个或者多个标签到一个文件系统实例。 |
| nas:DescribeTags | 查询已有标签。 |
| nas:RemoveTags | 从一个文件系统实例上解绑一个或多个标签。 |
| nas:CreateFileSystem | 创建新的文件系统。 |
| nas:DeleteFileSystem | 删除已有文件系统。 |
| nas:DescribeFileSystems | 返回文件系统描述信息。 |
| nas:ModifyFileSystem | 修改文件系统信息。 |
| nas:CreateMountTarget | 创建挂载点。 |
| nas:DeleteMountTarget | 删除已有挂载点。 |
| nas:DescribeMountTargets | 返回挂载点描述信息。 |
| nas:ModifyMountTarget | 修改挂载点信息。 |
AliyunCSManagedCmsRole
ACK集群云监控组件使用AliyunCSManagedCmsRole角色来访问您在其他云产品中的资源。
| 权限名称(Action) | 说明 |
|---|
| cms:DescribeMonitorGroups | 查询应用分组列表。 |
| cms:DescribeMonitorGroupInstances | 查询指定应用分组内包含的资源列表。 |
| cms:CreateMonitorGroup | 创建一个应用分组。 |
| cms:DeleteMonitorGroup | 删除指定的应用分组。 |
| cms:ModifyMonitorGroupInstances | 修改应用分组中的资源。 |
| cms:CreateMonitorGroupInstances | 添加资源到应用分组。 |
| cms:DeleteMonitorGroupInstances | 删除应用分组内的资源实例。 |
| cms:TaskConfigCreate | 创建监控任务配置。 |
| cms:TaskConfigList | 列举监控任务配置。 |
| cms:DescribeMetricList | 查询指定时间段内的云产品时序指标监控数据。 |
| cs:DescribeMonitorToken | 获取容器服务监控令牌。 |
| ahas:GetSentinelAppSumMetric | 获取AHAS Sentinel应用监控指标。 |
| log:GetLogStoreLogs | 查看Logstore日志。 |
| slb:DescribeMetricList | 查询指定时间段内的云产品时序指标监控数据。 |
| sls:GetLogs | 获取SLS服务中指定Project下某个Logstore中的日志数据。 |
| sls:PutLogs | 更新SLS服务中指定Project下某个Logstore中的日志数据。 |
AliyunCSManagedLogRole
ACK集群日志组件使用AliyunCSManagedLogRole角色来访问您在其他云产品中的资源。
| 权限名称(Action) | 说明 |
|---|
| log:CreateProject | 创建一个Project。 |
| log:GetProject | 根据Project名称查询Project。 |
| log:DeleteProject | 删除一个指定的Project。 |
| log:CreateLogStore | 在Project下创建Logstore。 |
| log:GetLogStore | 查看Logstore属性。 |
| log:UpdateLogStore | 更新Logstore的属性。 |
| log:DeleteLogStore | 删除Logstore。 |
| log:CreateConfig | 创建日志采集配置。 |
| log:UpdateConfig | 更新配置内容。 |
| log:GetConfig | 获取采集配置的详细信息。 |
| log:DeleteConfig | 删除指定的日志采集配置。 |
| log:CreateMachineGroup | 根据需求创建一组机器,用以日志收集下发配置。 |
| log:UpdateMachineGroup | 更新机器组信息。 |
| log:GetMachineGroup | 查看具体的MachineGroup信息。 |
| log:DeleteMachineGroup | 删除机器组。 |
| log:ApplyConfigToGroup | 将配置应用到机器组。 |
| log:GetAppliedMachineGroups | 获得机器组上已经被应用的机器列表。 |
| log:GetAppliedConfigs | 获得机器组上已经被应用的配置名称。 |
| log:RemoveConfigFromMachineGroup | 从机器组中删除配置。 |
| log:CreateIndex | 为指定Logstore创建索引。 |
| log:GetIndex | 查询指定Logstore的索引。 |
| log:UpdateIndex | 更新指定Logstore的索引。 |
| log:DeleteIndex | 删除指定Logstore的索引。 |
| log:CreateSavedSearch | 创建快速查询。 |
| log:GetSavedSearch | 查看指定快速查询。 |
| log:UpdateSavedSearch | 更新快速查询。 |
| log:DeleteSavedSearch | 删除快速查询。 |
| log:CreateDashboard | 创建仪表盘。 |
| log:GetDashboard | 查看指定仪表盘。 |
| log:UpdateDashboard | 更新仪表盘。 |
| log:DeleteDashboard | 删除仪表盘。 |
| log:CreateJob | 创建任务。例如创建告警、订阅。 |
| log:GetJob | 查询任务。 |
| log:DeleteJob | 删除任务。 |
| log:UpdateJob | 更新任务。 |
| log:PostLogStoreLogs | 向指定的Logstore写入日志数据。 |
| log:CreateSortedSubStore | 创建排序子存储。 |
| log:GetSortedSubStore | 获取排序子存储。 |
| log:ListSortedSubStore | 列举排序子存储。 |
| log:UpdateSortedSubStore | 更新排序子存储。 |
| log:DeleteSortedSubStore | 删除排序子存储。 |
| log:CreateApp | 日志服务APP(成本管家、日志审计)的创建权限。 |
| log:UpdateApp | 日志服务APP(成本管家、日志审计)的更新权限。 |
| log:GetApp | 日志服务APP(成本管家、日志审计)的查看权限。 |
| log:DeleteApp | 日志服务APP(成本管家、日志审计)的删除权限。 |
| cs:DescribeTemplates | 获取容器模板。 |
| cs:DescribeTemplateAttribute | 获取容器模板属性。 |
AliyunCSManagedVKRole
ACK集群Virtual Node组件使用AliyunCSManagedVKRole角色来访问您在其他云产品中的资源。
VPC相关权限
| 权限名称(Action) | 说明 |
|---|
| vpc:DescribeVSwitches | 查询已创建的交换机。 |
| vpc:DescribeVpcs | 查询已创建的VPC。 |
| vpc:AssociateEipAddress | 将弹性公网IP(EIP)绑定到同地域的云产品实例上。 |
| vpc:DescribeEipAddresses | 查询指定地域已创建的EIP。 |
| vpc:AllocateEipAddress | 申请弹性公网IP(EIP)。 |
| vpc:ReleaseEipAddress | 释放指定的弹性公网IP(EIP)。 |
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:DescribeSecurityGroups | 查询您创建的安全组的基本信息。 |
| ecs:CreateNetworkInterface | 创建一个弹性网卡(ENI)。 |
| ecs:CreateNetworkInterfacePermission | 创建弹性网卡(ENI)权限。 |
| ecs:DescribeNetworkInterfaces | 查看弹性网卡(ENI)列表。 |
| ecs:AttachNetworkInterface | 附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。 |
| ecs:DetachNetworkInterface | 从一台ECS实例上分离一个弹性网卡(ENI)。 |
| ecs:DeleteNetworkInterface | 删除一个弹性网卡(ENI)。 |
| ecs:DeleteNetworkInterfacePermission | 删除弹性网卡(ENI)权限。 |
VPTZ相关权限
| 权限名称(Action) | 说明 |
|---|
| pvtz:AddZone | 创建私有区域。 |
| pvtz:DeleteZone | 删除私有区域。 |
| pvtz:DescribeZones | 查询用户的区域列表。 |
| pvtz:DescribeZoneInfo | 获取指定区域的详细信息。 |
| pvtz:BindZoneVpc | 绑定或者解绑区域与VPC列表两者之间的关系。 |
| pvtz:AddZoneRecord | 添加私有区域的解析记录。 |
| pvtz:DeleteZoneRecord | 删除解析记录。 |
| pvtz:DeleteZoneRecordsByRR | 删除解析记录列表。 |
| pvtz:DescribeZoneRecordsByRR | 查询解析记录列表 |
| pvtz:DescribeZoneRecords | 查询解析记录列表。 |
ECI相关权限
| 权限名称(Action) | 说明 |
|---|
| eci:CreateContainerGroup | 创建一个容器组。 |
| eci:DeleteContainerGroup | 删除一个容器组。 |
| eci:DescribeContainerGroups | 批量获取容器组信息。 |
| eci:DescribeContainerLog | 获取容器组日志信息。 |
| eci:UpdateContainerGroup | 更新实例。 |
| eci:UpdateContainerGroupByTemplate | 通过模板更新ECI实例。 |
| eci:CreateContainerGroupFromTemplate | 通过模板创建ECI实例。 |
| eci:RestartContainerGroup | 重启ECI实例。 |
| eci:ExportContainerGroupTemplate | 导出用户创建ECI的模板。 |
| eci:DescribeContainerGroupMetric | 查询一个ECI的监控信息。 |
| eci:DescribeMultiContainerGroupMetric | 同时查询多个容器组的监控信息。 |
| eci:ExecContainerCommand | 在容器内部执行命令。 |
| eci:CreateImageCache | 制作镜像缓存。 |
| eci:DescribeImageCaches | 查询镜像缓存信息。 |
| eci:DeleteImageCache | 删除镜像缓存。 |
AliyunCSManagedArmsRole
ACK集群应用实时监控插件使用AliyunCSManagedArmsRole角色来访问您在其他云产品中的资源。
| 权限名称(Action) | 说明 |
|---|
| arms:CreateApp | 创建应用监控。 |
| arms:DeleteApp | 删除应用监控。 |
| arms:ConfigAgentLabel | 修改应用监控Agent的标签。 |
| arms:GetAssumeRoleCredentials | 获取应用监控角色扮演密钥凭证。 |
| arms:CreateProm | 创建阿里云Prometheus监控。 |
| arms:SearchEvents | 查询报警事件记录。 |
| arms:SearchAlarmHistories | 查询告警历史发送记录。 |
| arms:SearchAlertRules | 查询监控告警规则。 |
| arms:GetAlertRules | 获取监控告警规则。 |
| arms:CreateAlertRules | 创建监控告警规则。 |
| arms:UpdateAlertRules | 更新监控告警规则。 |
| arms:StartAlertRule | 启动监控告警规则。 |
| arms:StopAlertRule | 停止监控告警规则。 |
| arms:CreateContact | 创建告警联系人。 |
| arms:SearchContact | 查询告警联系人。 |
| arms:UpdateContact | 更新告警联系人。 |
| arms:CreateContactGroup | 创建告警联系人分组。 |
| arms:SearchContactGroup | 查询告警联系人分组。 |
| arms:UpdateContactGroup | 更新告警联系人分组。 |
AliyunCSManagedAcrRole
ACK托管版集群和ASK集群的镜像拉取免密插件使用该角色访问您在ACR容器镜像服务中的资源。
| 权限名称(Action) | 说明 |
|---|
| cr:GetAuthorizationToken | 获取用于登录实例的临时账号和临时密码。 |
| cr:ListInstanceEndpoint | 查询实例网络访问入口列表。 |
| cr:PullRepository | 拉取镜像。 |
AliyunCSManagedNlcRole
ACK托管版集群托管节点池控制组件使用该角色访问您的ECS和ACK节点池资源。
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:ModifyInstanceAttribute | 修改一台ECS实例的部分信息,包括实例密码、名称、描述、主机名、所属安全组和自定义数据等。如果是突发性能实例,还可以切换这台实例的性能突发模式。 |
| ecs:AttachKeyPair | 绑定一个SSH密钥对到一台或多台Linux实例。 |
| ecs:StopInstance | 停止一台运行中(Running)的ECS实例。成功调用接口后,实例从停止中(Stopping)变成已停止(Stopped)状态。 |
| ecs:StartInstance | 启动一台ECS实例,接口调用成功后实例进入启动中状态。 |
| ecs:DescribeInvocations | 查询云助手命令的执行列表和状态。 |
| ecs:DescribeInstanceAttribute | 查询实例所有的属性信息,例如实例ID、实例的备注信息。 |
| ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
| ecs:DeleteInstance | 释放一台按量付费实例或者到期的包年包月实例。 |
| ecs:RunCommand | 在一台或多台ECS实例中执行一段Shell、PowerShell或者Bat类型的脚本。 |
| ecs:DescribeInvocationResults | 查看一条或多条云助手命令的执行结果,即在ECS实例中的实际执行结果。 |
| ecs:ReplaceSystemDisk | 更换一台ECS实例的系统盘或者操作系统。系统盘的云盘ID会发生变化,原云盘会被释放。 |
| ecs:DescribeUserData | 查询一台ECS实例的自定义数据。 |
ESS相关权限
| 权限名称 | 说明 |
|---|
| ess:DescribeScalingGroups | 查询伸缩组。 |
| ess:DescribeScalingConfigurations | 查询伸缩配置的信息。 |
CS相关权限
| 权限名称(Action) | 说明 |
|---|
| cs:RepairClusterNodePool | 修复指定的托管节点池内指定节点存在的问题。 |
| cs:DescribeClusterNodePoolDetail | 根据节点池ID,查询集群中该节点池的详情。 |
| cs:DescribeTaskInfo | 根据任务ID,查询该任务执行详情。 |
| cs:FixNodePoolVuls | 自动修复指定集群节点池的漏洞。 |
| cs:DescribeTaskInfo | 根据任务ID,查询该任务执行详情。 |
| cs:CancelTask | 取消集群任务执行。 |
| cs:PauseTask | 暂停执行中的集群任务。 |
| cs:ResumeTask | 恢复已暂停的集群任务。 |
| cs:DescribeNodePoolVuls | 查询指定集群节点池的漏洞列表。 |
AliyunCSManagedAutoScalerRole
ACK托管版集群和ASK集群的弹性伸缩组件使用该角色访问您在ESS和ECS服务中的资源。
ESS相关权限
| 权限名称(Action) | 说明 |
|---|
| ess:DescribeScalingGroups | 查询伸缩组。 |
| ess:DescribeScalingInstances | 查询伸缩组内ECS实例的列表,并列出ECS实例的信息。 |
| ess:DescribeScalingActivities | 查询伸缩活动。 |
| ess:DescribeScalingConfigurations | 查询伸缩配置的信息。 |
| ess:DescribeScalingRules | 查询伸缩组下的伸缩规则,并列出伸缩规则的信息。 |
| ess:DescribeScheduledTasks | 查询定时任务的信息。 |
| ess:DescribeLifecycleHooks | 查询生命周期挂钩。 |
| ess:DescribeNotificationConfigurations | 查询您创建的弹性伸缩事件及资源变化通知。 |
| ess:DescribeNotificationTypes | 查询弹性伸缩事件及资源变化通知的类型。 |
| ess:DescribeRegions | 查询可以使用弹性伸缩服务的地域。 |
| ess:CreateScalingRule | 创建一条伸缩规则。 |
| ess:ModifyScalingGroup | 修改一个伸缩组。 |
| ess:RemoveInstances | 从一个伸缩组删除一台或多台ECS实例或ECI实例。 |
| ess:ExecuteScalingRule | 执行一条伸缩规则。 |
| ess:ModifyScalingRule | 修改一条伸缩规则。 |
| ess:DeleteScalingRule | 删除一条伸缩规则。 |
| ess:DetachInstances | 从一个伸缩组移出一台或多台ECS实例或ECI实例。 |
| ess:CompleteLifecycleAction | 提前结束伸缩活动的等待状态。 |
| ess:ScaleWithAdjustment | 基于指定调整规则触发弹性扩缩容。 |
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:DescribeInstanceTypes | 查询云服务器ECS提供的所有实例规格的信息,也可以查询指定实例规格的信息。 |
| ecs:DescribeImages | 查询您可以使用的OS镜像资源。 |
CS相关权限
| 权限名称(Action) | 说明 |
|---|
| cs:DeleteClusterNodes | 根据节点名称,移除集群中指定节点。 |
| cs:DescribeClusterNodes | 根据集群ID,查询该集群中的所有节点的详情。 |
VPC相关权限
| 权限名称(Action) | 说明 |
|---|
| vpc:DescribeVSwitches | 查询可组网的信息,内网按vSwitch进行组网。 |
AliyunCSManagedSecurityRole
ACK托管版集群和ASK集群的落盘加密插件使用该角色访问您在KMS服务中的资源。
KMS相关权限
| 权限名称(Action) | 说明 |
|---|
| kms:GetSecretValue | 获取凭据值。 |
| kms:ListSecrets | 查询当前用户在当前地域创建的所有凭据。 |
| kms:ListKeys | 查询调用者在调用地域的所有主密钥ID。 |
| kms:ListSecretVersionIds | 查询凭据的所有版本信息。 |
| kms:ListAliasesByKeyId | 查询与指定主密钥(CMK)对应的所有别名。 |
| kms:SetDeletionProtection | 为用户主密钥(CMK)开启或关闭删除保护。 |
| kms:DescribeKey | 查询用户主密钥(CMK)详情。 |
| kms:Encrypt | 使用对称主密钥(Symmetric CMK)将明文加密为密文。 |
| kms:Decrypt | 解密CiphertextBlob中的密文。 |
AliyunCSManagedCostRole
ACK托管版集群和ASK集群的成本分析组件使用该角色访问您在账单管理API、ECS和ECI服务中的资源。
BSS OpenAPI相关权限
| 权限名称(Action) | 说明 |
|---|
| bssapi:QueryInstanceBill | 查询用户某个账期内所有商品实例或计费项的消费汇总。API已升级为DescribeInstanceBill,此API不再提供50000行以后数据的查询。 |
| bssapi:DescribeInstanceBill | 查询用户某个账期内所有商品实例或计费项的消费汇总。 |
ECS相关权限
| 权限名称(Action) | 说明 |
|---|
| ecs:DescribeDisks | 查询一块或多块已经创建的块存储(包括云盘和本地盘)。 |
| ecs:DescribeSpotPriceHistory | 查询抢占式实例近30天内的历史价格。 |
| ecs:DescribeInstances | 查询一台或多台ECS实例的详细信息。 |
| ecs:DescribePrice | 查询云服务器ECS资源的最新价格。 |
ECI相关权限
| 权限名称(Action) | 说明 |
|---|
| eci: DescribeContainerGroupPrice | 查询实例的价格。 |
AliyunCSManagedNimitzRole
ACK托管灵骏集群的网络组件使用该角色访问您在智能计算灵骏服务中的资源。
eflo相关权限
| 权限名称 | 说明 |
|---|
| eflo:ListNetworkInterfaces | 查询灵骏网卡列表信息。 |
| eflo:GetNetworkInterface | 查询某张网卡实例信息。 |
| eflo:AssignPrivateIpAddress | 为当前的灵骏网卡申请辅助私网IP,以及可选自动分配辅助Mac地址。 |
| eflo:UnAssignPrivateIpAddress | 将分配的辅助私网IP地址删除。 |
| eflo:UpdateNetworkInterfacePrivateMac | 修改私网IP的MAC地址。 |
AliyunCSManagedBackupRestoreRole
ACK托管版集群的备份中心组件使用该角色访问您在混合云备份HBR服务和OSS服务中的资源。
HBR相关权限
| 权限名称(Action) | 说明 |
|---|
| hbr:CreateVault | 创建一个备份仓库。 |
| hbr:CreateBackupJob | 创建一个手动备份任务。 |
| hbr:DescribeVaults | 获取一个或者多个符合条件的备份仓库信息。 |
| hbr:DescribeBackupJobs2 | 查询一个或者多个符合条件的备份任务。 |
| hbr:DescribeRestoreJobs | 查询一个备份恢复任务。 |
| hbr:SearchHistoricalSnapshots | 获取一个或者多个符合条件的历史备份快照。 |
| hbr:CreateRestoreJob | 创建一个恢复任务。 |
| hbr:AddContainerCluster | 注册一个容器集群。 |
| hbr:DescribeContainerCluster | 查询符合条件的一个或多个容器集群。 |
| hbr:DescribeRestoreJobs2 | 查询一个或者多个符合条件的恢复任务。 |
OSS相关权限
| 权限 | 说明 |
|---|
| oss:PutObject | 上传文件(Object)。 |
| oss:IsObjectExist | 判断文件对象是否存在。 |
| oss:ListObjects | 列举存储空间(Bucket)中所有文件(Object)的信息。 |
| oss:GetObject | 获取某个文件(Object)。 |
| oss:DeleteObject | 删除文件(Object)。 |
| oss:GetBucket | 获取桶信息。 |
AliyunCSManagedEdgeRole
ACK托管版边缘集群的管控组件默认使用该角色访问您在智能接入网关、VPC和云企业网CEN服务中的资源。
SmartAG相关权限
| 权限名称 | 说明 |
|---|
| smartag:BindSmartAccessGateway | 将智能接入网关绑定到指定的云连接网中。 |
| smartag:UnbindSmartAccessGateway | 将智能接入网关从指定的云连接网中解绑。 |
| smartag:GrantSagInstanceToCcn | 将智能接入网关实例授权给跨账号的云连接网实例。 |
| smartag:RevokeSagInstanceFromCcn | 从云连接网撤销智能接入网关实例的加入授权。 |
VPC相关权限
| 权限名称(Action) | 说明 |
|---|
| vpc:DescribeVpcs | 查询已创建的VPC。 |
| vpc:DescribeRouteEntryList | 查询路由条目列表。 |
CEN相关权限
| 权限名称(Action) | 说明 |
|---|
| cen:DescribePublishedRouteEntries | 查询已加载到CEN网络实例(VPC和VBR)的各条路由在CEN中的发布情况。 |
| cen:PublishRouteEntries | 将加载到CEN中的VPC或VBR的路由条目发布到CEN中。 |
| cen:WithdrawPublishedRouteEntries | 撤回专有网络VPC(Virtual Private Cloud)或边界路由器VBR(Virtual border router)实例已发布至云企业网的路由条目。 |