全部产品
Search
文档中心

容器服务 Kubernetes 版 ACK:容器服务ACK服务角色

更新时间:Apr 03, 2024

开通容器服务时,您需要为服务账号授予系统服务角色。只有正确授予该角色权限后,容器服务才能正常地调用相关服务(ECS、OSS、NAS、SLB等)、创建集群以及保存日志等。本文介绍容器服务ACK服务角色包含的权限。

角色权限内容

容器服务ACK包含的服务角色说明如下表所示。

角色

角色说明

AliyunCSDefaultRole

ACK在集群管控操作中使用该角色访问您在ECS、VPC、SLB、ROS、ESS等服务中的资源。

AliyunCISDefaultRole

ACK容器智能运维将使用该角色访问您在ECS、VPC、SLB等服务中的资源,为您提供诊断和巡检等服务。

AliyunCSManagedKubernetesRole

ACK托管集群使用该角色访问您在ECS、VPC、SLB、ACR等服务中的资源。

AliyunCSServerlessKubernetesRole

ACK Serverless集群使用该角色来访问您在ECS、VPC、SLB、PVTZ等服务中的资源。

AliyunCSKubernetesAuditRole

ACK托管集群ACK Serverless集群的审计功能使用该角色来访问您在SLS服务中的资源。

AliyunCSManagedNetworkRole

ACK托管集群ACK Serverless集群的网络组件使用该角色访问您在ECS、VPC服务中的资源。

AliyunCSManagedCsiRole

ACK托管集群ACK Serverless集群的存储组件使用该角色访问您在ECS、NAS服务中的资源。

AliyunCSManagedCmsRole

ACK托管集群ACK Serverless集群的监控组件使用该角色访问您在CMS、SLS服务中的资源。

AliyunCSManagedLogRole

ACK托管集群ACK Serverless集群的日志组件使用该角色访问您在SLS服务中的资源。

AliyunCSManagedVKRole

ACK Serverless集群的Virtual Node组件使用该角色访问您在ECS、VPC、ECI等服务中的资源。

AliyunCSManagedArmsRole

ACK托管集群ACK Serverless集群的应用实时监控组件使用该角色访问您在ARMS服务中的资源。

AliyunCSManagedAcrRole

ACK托管集群ACK Serverless集群的镜像拉取免密插件使用该角色访问您在ACR容器镜像服务中的资源。

AliyunCSManagedNlcRole

ACK托管集群托管节点池控制组件使用该角色访问您的ECS和ACK节点池资源。

AliyunCSManagedAutoScalerRole

ACK托管集群ACK Serverless集群的弹性伸缩组件使用该角色访问您在ESS和ECS服务中的资源。

AliyunCSManagedSecurityRole

ACK托管集群ACK Serverless集群的落盘加密插件使用该角色访问您在KMS服务中的资源。

AliyunCSManagedCostRole

ACK托管集群ACK Serverless集群的成本分析组件使用该角色访问您在账单管理API、ECS和ECI服务中的资源。

AliyunCSManagedNimitzRole

ACK灵骏集群的网络组件使用该角色访问您在智能计算灵骏服务中的资源。

AliyunCSManagedBackupRestoreRole

ACK托管集群的备份中心组件使用该角色访问您在云备份(Cloud Backup)服务和OSS服务中的资源。

AliyunCSManagedEdgeRole

ACK Edge集群的管控组件使用该角色访问您在智能接入网关、VPC和云企业网CEN服务中的资源。

AliyunCSDefaultRole

ACK在集群操作时使用AliyunCSDefaultRole角色来访问您在其他云产品中的资源。

ECS相关权限

权限名称(Action)

说明

ecs:RunInstances

启动ECS实例。

ecs:RenewInstance

ECS实例续费。

ecs:Create*

创建ECS相关资源,如实例、磁盘等。

ecs:AllocatePublicIpAddress

分配公网IP地址。

ecs:AllocateEipAddress

分配EIP地址。

ecs:Delete*

删除机器实例。

ecs:StartInstance

启动ECS相关资源。

ecs:StopInstance

停止机器实例。

ecs:RebootInstance

重启机器实例。

ecs:Describe*

查询ECS相关资源。

ecs:AuthorizeSecurityGroup

设置安全组入规则。

ecs:RevokeSecurityGroup

撤销安全组规则。

ecs:AuthorizeSecurityGroupEgress

设置安全组出规则。

ecs:AttachDisk

添加磁盘。

ecs:DetachDisk

清理磁盘。

ecs:WaitFor*

任务执行等待。

ecs:AddTags

添加标签。

ecs:ReplaceSystemDisk

更换ECS实例的系统盘。

ecs:ModifyInstanceAttribute

修改实例属性。

ecs:JoinSecurityGroup

将实例加入到指定的安全组。

ecs:LeaveSecurityGroup

将实例移出指定的安全组。

ecs:UnassociateEipAddress

解绑弹性公网IP。

ecs:ReleaseEipAddress

释放弹性公网IP。

ecs:CreateKeyPair

创建一对SSH密钥对。

ecs:ImportKeyPair

导入由其他工具产生的RSA密钥对的公钥部分。

ecs:AttachKeyPair

绑定一个SSH密钥对到一台或多台Linux实例。

ecs:DetachKeyPair

为一台或者多台Linux实例解绑SSH密钥对。

ecs:DeleteKeyPairs

删除一对或者多对SSH密钥对。

ecs:AttachInstanceRamRole

为一台或多台ECS实例授予实例RAM角色。

ecs:DetachInstanceRamRole

收回一台或多台ECS实例的实例RAM角色。

ecs:AllocateDedicatedHosts

创建一台或多台按量付费或者包年包月专有宿主机。

ecs:CreateOrder

创建ECS实例订单。

ecs:DeleteInstance

释放一台按量付费实例或者到期的包年包月实例。

ecs:CreateDisk

创建一块按量付费或包年包月数据盘。

ecs:Createvpc

创建ECS关联VPC。

ecs:Deletevpc

删除ECS关联VPC。

ecs:DeleteVSwitch

删除ECS关联交换机。

ecs:ResetDisk

使用磁盘的历史快照回滚至某一阶段的磁盘状态。

ecs:DeleteSnapshot

删除指定的快照。

ecs:AllocatePublicIpAddress

为一台ECS实例分配一个公网IP地址。

ecs:CreateVSwitch

创建ECS关联交换机。

ecs:DeleteSecurityGroup

删除一个安全组。

ecs:CreateImage

创建一份自定义镜像。

ecs:RemoveTags

删除ECS实例标签。

ecs:ReleaseDedicatedHost

释放一台按量付费专有宿主机。

ecs:CreateInstance

创建一台包年包月或者按量付费ECS实例。

ecs:RevokeSecurityGroupEgress

删除一条安全组出方向规则,撤销安全组出方向的访问权限。

ecs:DeleteDisk

释放一块按量付费数据盘。

ecs:StopInstance

停止运行一台实例。

ecs:CreateSecurityGroup

新建一个安全组。

ecs:RevokeSecurityGroup

删除一条安全组入方向规则,撤销安全组入方向的权限设置。

ecs:DeleteImage

删除一份自定义镜像。

ecs:ModifyInstanceSpec

调整一台按量付费ECS实例的实例规格和公网带宽大小。

ecs:CreateSnapshot

为一块云盘创建一份快照。

ecs:CreateCommand

新建一条云助手命令。

ecs:InvokeCommand

为一台或多台ECS实例触发一条云助手命令。

ecs:StopInvocation

停止一台或多台ECS实例中一条正在进行中(Running)的云助手命令进程。

ecs:DeleteCommand

删除一条云助手命令。

ecs:RunCommand

新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。

ecs:DescribeInvocationResults

查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。

ecs:ModifyCommand

修改一条云助手命令。

VPC相关权限

权限名称(Action)

说明

vpc:Describe*

查询VPC相关资源的信息。

vpc:AllocateEipAddress

分配EIP地址。

vpc:AssociateEipAddress

关联EIP地址。

vpc:UnassociateEipAddress

不关联EIP地址。

vpc:ReleaseEipAddress

释放弹性公网IP。

vpc:CreateRouteEntry

创建路由接口。

vpc:DeleteRouteEntry

删除路由接口。

vpc:CreateVSwitch

创建交换机。

vpc:DeleteVSwitch

删除交换机。

vpc:CreateVpc

创建一个VPC。

vpc:DeleteVpc

删除一个VPC。

vpc:CreateNatGateway

创建一个NAT网关。

vpc:DeleteNatGateway

删除指定的NAT网关。

vpc:CreateSnatEntry

在SNAT列表中添加SNAT条目。

vpc:DeleteSnatEntry

删除指定的SNAT条目。

vpc:ModifyEipAddressAttribute

修改指定EIP的名称、描述信息和带宽峰值。

vpc:CreateForwardEntry

在DNAT列表中添加DNAT条目。

vpc:DeleteBandwidthPackage

创建指定的NAT带宽包。

vpc:CreateBandwidthPackage

删除指定的NAT带宽包。

vpc:DeleteForwardEntry

删除指定的DNAT条目。

vpc:TagResources

为指定的资源统一创建并绑定标签。

vpc:DeletionProtection

配置实例删除保护功能。

SLB相关权限

权限名称(Action)

说明

slb:Describe*

查询负载均衡相关信息。

slb:CreateLoadBalancer

创建负载均衡实例。

slb:DeleteLoadBalancer

删除负载均衡实例。

slb:RemoveBackendServers

解绑负载均衡实例。

slb:StartLoadBalancerListener

启动指定的监听服务。

slb:StopLoadBalancerListener

停止指定的监听服务。

slb:CreateLoadBalancerTCPListener

为负载均衡实例创建基于TCP协议的监听。

slb:AddBackendServers

添加后端服务器。

slb:CreateVServerGroup

创建虚拟服务器组,并添加后端服务器。

slb:CreateLoadBalancerHTTPSListener

为负载均衡实例创建基于HTTPS协议的监听。

slb:CreateLoadBalancerUDPListener

创建UDP监听。

slb:ModifyLoadBalancerInternetSpec

修改公网负载均衡实例的计费方式。

slb:SetBackendServers

配置后端服务器,为负载均衡实例后端的一组服务器(ECS实例)配置权重值。

slb:AddVServerGroupBackendServers

向指定的后端服务器组中添加后端服务器。

slb:DeleteVServerGroup

删除服务器组。

slb:ModifyVServerGroupBackendServers

替换服务器组中的后端服务器。

slb:CreateLoadBalancerHTTPListener

为负载均衡实例创建基于HTTP协议的监听。

slb:RemoveVServerGroupBackendServers

从指定的后端服务器组中移除后端服务器。

slb:DeleteLoadBalancerListener

删除负载均衡实例监听。

slb:AddTags

为指定的负载均衡实例添加标签。

slb:RemoveTags

解绑指定负载均衡实例下的标签。

slb:SetLoadBalancerDeleteProtection

为负载均衡实例设置删除保护。

DNS相关权限

权限名称(Action)

说明

dns:Describe*

查询DNS相关资源。

dns:AddDomainRecord

添加域名解析记录。

RDS相关权限

权限名称(Action)

说明

rds:Describe*

查询RDS相关资源。

rds:ModifySecurityIps

修改RDS实例IP白名单。

ROS相关权限

权限名称(Action)

说明

ros:Describe*

获取ROS相关资源。

ros:WaitConditions

ROS脚本执行等待。

ros:AbandonStack

终止Stack。

ros:DeleteStack

删除Stack。

ros:CreateStack

创建Stack。

ros:UpdateStack

更新Stack。

ros:ValidateTemplate

校验ROS模板。

ros:DoActions

执行Actions。

ros:InquiryStack

查询Stack。

ros:SetDeletionProtection

设置删除保护。

ros:PreviewStack

预览Stack。

ESS相关权限

权限名称(Action)

说明

ess:Describe*

查询ESS相关资源。

ess:CreateScalingConfiguration

创建一个伸缩配置。

ess:EnableScalingGroup

启用一个伸缩组。

ess:ExitStandby

使伸缩组内处于备用状态的ECS实例进入运行状态。

ess:DetachDBInstances

移除一个或多个RDS实例。

ess:DetachLoadBalancers

移除一个或多个负载均衡实例。

ess:AttachInstances

从一个伸缩组关联一台或多台ECS实例。

ess:DeleteScalingConfiguration

删除一个伸缩配置。

ess:AttachLoadBalancers

添加一个或多个负载均衡实例。

ess:DetachInstances

从一个伸缩组分离一台或多台ECS实例。

ess:ModifyScalingRule

修改伸缩组规则。

ess:RemoveInstances

从指定的伸缩组里移出ECS实例。

ess:ModifyScalingGroup

修改一个伸缩组。

ess:AttachDBInstances

添加一个或多个RDS实例。

ess:CreateScalingRule

创建一条伸缩规则。

ess:DeleteScalingRule

删除一条伸缩规则。

ess:ExecuteScalingRule

执行一条伸缩规则。

ess:SetInstancesProtection

保护或者停止保护伸缩组内的一台或者多台ECS实例。

ess:ModifyNotificationConfiguration

修改一条弹性伸缩事件及资源变化通知的信息。

ess:CreateNotificationConfiguration

创建一条弹性伸缩事件及资源变化通知的信息。

ess:EnterStandby

将伸缩组内的ECS实例设置为备用状态。

ess:DeleteScalingGroup

删除一个伸缩组。

ess:CreateScalingGroup

创建一个伸缩组。

ess:DeleteNotificationConfiguration

删除一条弹性伸缩事件及资源变化通知的信息。

ess:DisableScalingGroup

禁用一个伸缩组。

ModifyScalingConfiguration

修改一个伸缩配置。

SetGroupDeletionProtection

为伸缩组开启或关闭删除保护。

RAM相关权限

权限名称(Action)

说明

ram:PassRole

RAM跨服务授权权限。

ram:Get*

获取RAM相关资源权限。

ram:List*

列举RAM相关资源权限。

ram:DetachPolicyFromRole

为角色撤销指定的权限。

ram:AttachPolicyToRole

为指定角色附加授权。

ram:DeletePolicy

删除指定权限策略。

ram:DeletePolicyVersion

删除指定版本的策略。

ram:DeleteRole

删除RAM角色。

ram:CreateRole

创建RAM角色。

ram:CreatePolicy

创建RAM策略。

ram:CreateServiceLinkedRole

创建SLR权限。

CMS相关权限

权限名称(Action)

说明

cms:CreateMyGroups

创建个人应用分组。

cms:AddMyGroupInstances

添加个人分组内的资源实例。

cms:DeleteMyGroupInstances

删除个人分组内的资源实例。

cms:DeleteMyGroups

删除个人应用分组。

cms:GetMyGroups

获取个人应用分组。

cms:ListMyGroups

列举个人应用分组。

cms:UpdateMyGroupInstances

更新个人分组中的资源实例。

cms:UpdateMyGroups

更新个人应用分组。

cms:TaskConfigCreate

创建监控任务配置。

cms:TACK ServerlessConfigList

列举监控任务配置。

ESS相关权限

权限名称(Action)

说明

ess:CreateLifecycleHook

为伸缩组创建一个或多个生命周期挂钩。

ess:DescribeLifecycleHooks

查询生命周期挂钩。

ess:ModifyLifecycleHook

修改生命周期挂钩。

ess:DeleteLifecycleHook

删除生命周期挂钩。

ENS相关权限

权限名称(Action)

说明

ens:Describe*

获取边缘节点服务相关资源权限。

ens:CreateInstance

创建边缘实例。

ens:StartInstance

启动边缘实例。

ens:StopInstance

停止边缘实例。

ens:ReleasePrePaidInstance

释放包年包月实例。

AliyunCISDefaultRole

ACK容器智能运维包含的服务角色是AliyunCISDefaultRole,容器智能运维将使用该角色访问您在ECS、VPC、SLB等服务中的资源,以为您提供诊断和巡检等服务。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

ecs:DescribeInstanceStatus

获取一台或多台ECS实例的状态信息。

ecs:DescribeInstanceTypes

查询云服务器ECS提供的实例规格资源。

ecs:DescribeInstanceTypeFamilies

查询云服务器ECS提供的实例规格族资源。

ecs:DescribeInstanceAttribute

查询单个ECS实例详情。

ecs:CreateDiagnosticReport

创建资源诊断报告。

ecs:DescribeDiagnosticReports

查询资源诊断报告列表。

ecs:DescribeDiagnosticReportAttributes

查询资源诊断详情。

ecs:DescribeDiagnosticMetricSets

查询资源诊断集合列表。

ecs:DescribeDiagnosticMetrics

查询诊断指标列表。

ecs:DescribeSecurityGroupAttribute

查询一个安全组的安全组规则。

ecs:DescribeSecurityGroups

查询安全组的基本信息。

ecs:DescribeSecurityGroupReferences

查询一个安全组和其他哪些安全组有安全组级别的授权行为。

ecs:DescribeBandwidthLimitation

查询带宽资源列表。

ecs:DescribeCloudAssistantStatus

查询一台或者多台实例是否安装了云助手Agent。

ecs:DescribeCommands

查询已经创建的云助手命令。

ecs:DescribeInvocationResults

查看云助手命令的执行结果,在指定ECS实例中的实际执行结果。

ecs:DescribeNetworkInterfaces

查看弹性网卡(ENI)列表。

ecs:CreateCommand

新建一条云助手命令。

ecs:InvokeCommand

为一台或多台ECS实例触发一条云助手命令。

ecs:StopInvocation

停止一台或多台ECS实例中正在进行中(Running)的云助手命令进程。

ecs:RunCommand

新建一份Shell、PowerShell或者Bat类型的云助手脚本,然后在一台或多台ECS实例中执行该脚本。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVpcs

查询已创建的VPC。

vpc:DescribeVpcAttribute

查询指定VPC的配置信息。

vpc:DescribeVSwitches

查询已创建的交换机。

vpc:DescribeVSwitchAttributes

查询交换机的配置信息。

vpc:DescribeRouteTableList

查询路由表列表。

vpc:DescribeRouteEntryList

查询路由条目列表。

vpc:DescribeNatGateways

查询指定地域指定条件的NAT网关的详细信息。

vpc:DescribeEipAddresses

查询指定地域已创建的EIP。

vpc:DescribeRouteTables

查询路由表信息。

vpc:DescribeSnatTableEntries

查询已创建的SNAT条目。

vpc:DescribeNetworkAcls

查看网络ACL列表。

vpc:DescribeNetworkAclAttributes

查询网络ACL的详细信息。

SLB相关权限

权限名称(Action)

说明

slb:DescribeLoadBalancers

查询已创建的负载均衡实例。

slb:DescribeLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

slb:DescribeVServerGroups

查询服务器组列表。

slb:DescribeVServerGroupAttribute

查询服务器组的详细信息。

slb:DescribeLoadBalancerTCPListenerAttribute

查询TCP监听配置。

slb:DescribeLoadBalancerUDPListenerAttribute

查询UDP监听的配置。

slb:DescribeAccessControlLists

查询已创建的访问控制策略组。

slb:DescribeAccessControlListAttribute

查询访问控制策略组的配置。

slb:DescribeLoadBalancerListeners

查询负载均衡监听列表详情。

slb:DescribeHealthStatus

查询后端服务器的健康状态。

SLS相关权限

权限名称(Action)

说明

sls:GetLogStore

查看Logstore的详细信息。

CS相关权限

权限名称(Action)

说明

cs:DescribeClusterDetail

查看集群的详细信息。

cs:DescribeClusterResources

查询指定集群的所有资源。

cs:DescribeTasks

查询指定集群Task。

cs:DescribeTaskInfo

查询指定集群Task信息。

cs:DescribeClusterNodePools

查询集群内所有节点池详情。

cs:DescribeNodePoolVuls

查询指定集群节点池的漏洞列表。

cs:DescribeClusterAddonsUpgradeStatus

查询多个组件的升级状态。

ECI相关权限

权限名称(Action)

说明

eci:DescribeContainerGroups

批量获取容器组信息。

eci:RunCommand

在ECSI实例中执行Shell类型的脚本。

eci:DescribeCommandResult

查看命令的执行结果。

eci:ListUsage

查询指定地域的权益配额。

CMS相关权限

权限名称(Action)

说明

cms:DescribeMetricData

查询指定时间段内云服务的监控数据。

cms:DescribeMetricLast

查询指定监控项的最新监控数据。

cms:DescribeMetricMetaList

查询云监控开放的监控项描述。

cms:DescribeMetricTop

查询排序后的指定云服务的监控数据。

cms:QueryMetricMeta

查询云监控的监控项。

cms:QueryMetricTop

查询指定云服务的监控数据。

cms:ListMetricMeta

列出指标元数据。

cms:ListMetricMetaProject

列出指标元项目。

cms:QueryMetricData

查询云服务的监控数据。

cms:QueryMetricLast

查询监控项的最新监控数据。

cms:DescribeMetricList

查询指定云产品的指定监控项的监控数据。

cms:QueryMetricList

查询云监控的监控项描述。

cms:MetricMeta

查询云监控的监控项。

cms:DescribeAlertLogList

查询最近的报警历史。

cms:DescribeSystemEventAttribute

查询系统事件详情。

cms:GetMetricStreamMeta

查询云监控的监控项描述信息。

QUOTAS相关权限

权限名称(Action)

说明

quotas:ListProducts

查询配额中心已支持的云服务列表。

quotas:ListProductQuotas

查询目标云服务的配额列表。

quotas:ListProductQuotaDimensions

查询目标云服务支持的配额维度。

quotas:GetProductQuota

查询目标配额详情。

quotas:GetProductQuotaDimension

查询目标云服务支持的配额维度详情。

RAM相关权限

权限名称(Action)

说明

ram:ListPoliciesForRole

列举RAM Role Policy相关资源权限。

GRACE相关权限

权限名称(Action)

说明

grace:GetFile

获取ATP分析文件信息。

grace:AnalyzeFile

在ATP平台分析文件。

grace:UploadFileByOSS

通过OSS上传文件到ATP平台。

grace:UploadFileByURL

通过URL上传文件到ATP平台。

AliyunCSManagedKubernetesRole

ACK托管集群使用AliyunCSManagedKubernetesRole角色来访问您在其他云产品中的资源。

ECS相关权限

权限名称(Action)

说明

ecs:Describe*

查询ECS相关资源。

ecs:CreateRouteEntry

创建路由接口。

ecs:DeleteRouteEntry

删除路由接口。

ecs:CreateNetworkInterface

创建一个弹性网卡(ENI)。

ecs:DeleteNetworkInterface

删除一个弹性网卡(ENI)。

ecs:CreateNetworkInterfacePermission

创建弹性网卡(ENI)权限。

ecs:DeleteNetworkInterfacePermission

删除弹性网卡(ENI)权限。

ecs:ModifyInstanceAttribute

修改实例属性。

ecs:AttachKeyPair

绑定一个SSH密钥对到一台或多台Linux实例。

ecs:StopInstance

停止运行一台实例。

ecs:StartInstance

启动一台实例。

ecs:ReplaceSystemDisk

更换一台ECS实例的系统盘或者操作系统。

SLB相关权限

权限名称(Action)

说明

slb:Describe*

查询负载均衡相关资源。

slb:CreateLoadBalancer

创建负载均衡实例。

slb:DeleteLoadBalancer

删除负载均衡实例。

slb:ModifyLoadBalancerInternetSpec

修改公网负载均衡实例的计费方式。

slb:RemoveBackendServers

移除后端服务器。

slb:AddBackendServers

添加后端服务器。

slb:RemoveTags

解绑指定负载均衡实例下的标签。

slb:AddTags

为指定的负载均衡实例添加标签。

slb:StopLoadBalancerListener

停止监听。

slb:StartLoadBalancerListener

启动监听。

slb:SetLoadBalancerHTTPListenerAttribute

修改HTTP监听的配置。

slb:SetLoadBalancerHTTPSListenerAttribute

修改HTTPS监听的配置。

slb:SetLoadBalancerTCPListenerAttribute

修改TCP监听的配置。

slb:SetLoadBalancerUDPListenerAttribute

修改UDP协议监听的配置。

slb:CreateLoadBalancerHTTPSListener

为负载均衡实例创建基于HTTPS协议的监听。

slb:CreateLoadBalancerHTTPListener

为负载均衡实例创建基于HTTP协议的监听。

slb:CreateLoadBalancerTCPListener

为负载均衡实例创建基于TCP协议的监听规则。

slb:CreateLoadBalancerUDPListener

创建UDP监听。

slb:DeleteLoadBalancerListener

删除负载均衡实例监听规则。

slb:CreateVServerGroup

向指定的后端服务器组中添加后端服务器。

slb:DescribeVServerGroups

查询服务器组列表。

slb:DeleteVServerGroup

删除服务器组。

slb:SetVServerGroupAttribute

修改虚拟服务器组的配置。

slb:DescribeVServerGroupAttribute

查询服务器组的详细信息。

slb:ModifyVServerGroupBackendServers

替换服务器组中的后端服务器。

slb:AddVServerGroupBackendServers

向指定的后端服务器组中添加后端服务器。

slb:ModifyLoadBalancerInstanceSpec

修改负载均衡的实例规格。

slb:ModifyLoadBalancerInternetSpec

修改公网负载均衡实例的计费方式。

slb:RemoveVServerGroupBackendServers

从指定的后端服务器组中移除后端服务器。

VPC相关权限

权限名称(Action)

说明

vpc:Describe*

查询VPC相关资源的信息。

vpc:DeleteRouteEntry

删除自定义路由条目。

vpc:CreateRouteEntry

创建自定义路由条目。

ACR相关权限

权限名称(Action)

说明

cr:Get*

查询容器镜像服务相关资源。

cr:List*

查看容器镜像仓库列表。

cr:PullRepository

拉取镜像。

AliyunCSServerlessKubernetesRole

ACK Serverless使用AliyunCSServerlessKubernetesRole角色来访问您在其他云产品中的资源。

VPC相关权限

权限名称(Action)

说明

DescribeVSwitches

查询已创建的交换机。

DescribeVpcs

查询已创建的VPC。

AssociateEipAddress

将弹性公网IP(EIP)绑定到同地域的云产品实例上。

DescribeEipAddresses

查询指定地域已创建的EIP。

AllocateEipAddress

申请弹性公网IP(EIP)。

ReleaseEipAddress

释放指定的弹性公网IP(EIP)。

AddCommonBandwidthPackageIp

添加EIP到共享带宽中。

RemoveCommonBandwidthPackageIp

移除共享带宽实例中的EIP。

ECS相关权限

权限名称(Action)

说明

DescribeSecurityGroups

查询您创建的安全组的基本信息。

CreateNetworkInterface

创建一个弹性网卡(ENI)。

CreateNetworkInterfacePermission

创建弹性网卡(ENI)权限。

DescribeNetworkInterfaces

查看弹性网卡(ENI)列表。

AttachNetworkInterface

附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。

DetachNetworkInterface

从一台ECS实例上分离一个弹性网卡(ENI)。

DeleteNetworkInterface

删除一个弹性网卡(ENI)。

DeleteNetworkInterfacePermission

删除弹性网卡(ENI)权限。

SLB相关权限

权限名称(Action)

说明

slb:Describe*

查询负载均衡SLB相关资源。

slb:CreateLoadBalancer

创建负载均衡实例。

slb:DeleteLoadBalancer

删除后付费的负载均衡实例。

slb:RemoveBackendServers

移除后端服务器。

slb:StartLoadBalancerListener

启动监听。

slb:StopLoadBalancerListener

停止监听。

slb:DeleteLoadBalancerListener

删除负载均衡实例监听规则。

slb:CreateLoadBalancerTCPListener

为负载均衡实例创建基于TCP协议的监听规则。

slb:AddBackendServers*

添加后端服务器。

slb:UploadServerCertificate

上传服务器证书。

slb:CreateLoadBalancerHTTPListener

为负载均衡实例创建基于HTTP协议的监听。

slb:CreateLoadBalancerHTTPSListener

为负载均衡实例创建基于HTTPS协议的监听。

slb:CreateLoadBalancerUDPListener

创建UDP监听。

slb:ModifyLoadBalancerInternetSpec

修改公网负载均衡实例的计费方式。

slb:CreateRules

为指定的HTTP或HTTPS监听添加转发规则。

slb:DeleteRules

删除转发规则。

slb:SetRule

修改目标虚拟服务器组的转发规则。

slb:CreateVServerGroup

向指定的后端服务器组中添加后端服务器。

slb:SetVServerGroupAttribute

修改虚拟服务器组的配置。

slb:AddVServerGroupBackendServers

向指定的后端服务器组中添加后端服务器。

slb:RemoveVServerGroupBackendServers

从指定的后端服务器组中移除后端服务器。

slb:ModifyVServerGroupBackendServers

替换服务器组中的后端服务器。

slb:DeleteVServerGroup

删除服务器组。

slb:SetLoadBalancerTCPListenerAttribute

修改TCP监听的配置。

slb:SetLoadBalancerHTTPListenerAttribute

修改HTTP监听的配置。

slb:SetLoadBalancerHTTPSListenerAttribute

修改HTTPS监听的配置。

slb:AddTags

为指定的负载均衡实例添加标签。

PVTZ(云解析)相关权限

权限名称(Action)

说明

AddZone

创建私有区域。

DeleteZone

删除私有区域。

DescribeZones

查询用户的区域列表。

DescribeZoneInfo

获取指定区域的详细信息。

BindZoneVpc

绑定或者解绑区域与VPC列表两者之间的关系。

AddZoneRecord

添加私有区域的解析记录。

DeleteZoneRecord

删除解析记录。

DescribeZoneRecords

查询解析记录列表。

ACR相关权限

权限名称(Action)

说明

Get*

查询容器镜像服务相关资源。

List*

查看容器镜像仓库列表。

PullRepository

拉取镜像。

ECI相关权限

权限名称(Action)

说明

CreateContainerGroup

创建一个容器组。

DeleteContainerGroup

删除一个容器组。

DescribeContainerGroups

批量获取容器组信息。

DescribeContainerLog

获取容器组日志信息。

UpdateContainerGroup

更新实例。

UpdateContainerGroupByTemplate

通过模板更新ECI实例。

CreateContainerGroupFromTemplate

通过模板创建ECI实例。

RestartContainerGroup

重启ECI实例。

ExportContainerGroupTemplate

导出用户创建ECI的模板。

DescribeContainerGroupMetric

查询一个ECI的监控信息。

DescribeMultiContainerGroupMetric

同时查询多个容器组的监控信息。

ExecContainerCommand

在容器内部执行命令。

CreateImageCache

制作镜像缓存。

DescribeImageCaches

查询镜像缓存信息。

DeleteImageCache

删除镜像缓存。

RAM相关权限

权限名称(Action)

说明

ram:PassRole

访问CodePipeline控制台。

OSS相关权限

权限名称(Action)

说明

oss:GetObject

获取文件或文件夹对象。

oss:GetObjectMeta

获取一个文件(Object)的元数据信息。

FC相关权限

权限名称(Action)

说明

fc:CreateService

新建一个服务。

fc:ListServices

获取服务列表。

fc:GetService

获取指定服务。

fc:UpdateService

更新指定服务。

fc:DeleteService

删除指定服务。

fc:CreateFunction

新建一个新函数。

fc:ListFunctions

获取服务下的函数列表。

fc:GetFunction

获取指定函数的配置信息。

fc:GetFunctionCode

获取函数编码。

fc:UpdateFunction

更新函数,包括配置和代码。

fc:DeleteFunction

删除指定的函数。

fc:CreateTrigger

创建函数触发器。

fc:ListTriggers

获取函数下的触发器列表。

fc:GetTrigger

获取指定触发器。

fc:UpdateTrigger

更新指定函数触发器配置。

fc:DeleteTrigger

删除指定函数的触发器。

fc:PublishServiceVersion

发布函数计算服务版本。

fc:ListServiceVersions

列举函数计算服务版本。

fc:DeleteServiceVersion

删除函数计算服务版本。

fc:CreateAlias

创建一个别名,并且将别名与一个用户主密钥绑定。

fc:ListAliases

列出云账号在本地域的所有别名。

fc:GetAlias

获取别名信息。

fc:UpdateAlias

绑定指定别名到新的用户主密钥。

fc:DeleteAlias

删除指定别名。

AliyunCSKubernetesAuditRole

ACK审计功能使用AliyunCSKubernetesAuditRole角色来访问您在其他云产品中的资源。

权限名称(Action)

说明

log:CreateProject

创建一个Project。

log:GetProject

根据Project名称查询Project。

log:DeleteProject

删除一个指定的Project。

log:CreateLogStore

在Project下创建Logstore。

log:GetLogStore

查看Logstore属性。

log:UpdateLogStore

更新Logstore的属性。

log:DeleteLogStore

删除Logstore。

log:CreateConfig

创建日志采集配置。

log:UpdateConfig

更新配置内容。

log:GetConfig

获取采集配置的详细信息。

log:DeleteConfig

删除指定的日志采集配置。

log:CreateMachineGroup

根据需求创建一组机器,用于日志收集和下发配置。

log:UpdateMachineGroup

更新机器组信息。

log:GetMachineGroup

查看具体的MachineGroup信息。

log:DeleteMachineGroup

删除机器组。

log:ApplyConfigToGroup

将配置应用到机器组。

log:GetAppliedMachineGroups

获得机器组上已经被应用的机器列表。

log:GetAppliedConfigs

获得机器组上已经被应用的配置名称。

log:RemoveConfigFromMachineGroup

从机器组中删除配置。

log:CreateIndex

为指定Logstore创建索引。

log:GetIndex

查询指定Logstore的索引。

log:UpdateIndex

更新指定Logstore的索引。

log:DeleteIndex

删除指定Logstore的索引。

log:CreateSavedSearch

创建快速查询。

log:GetSavedSearch

查看指定快速查询。

log:UpdateSavedSearch

更新快速查询。

log:DeleteSavedSearch

删除快速查询。

log:CreateDashboard

创建仪表盘。

log:GetDashboard

查看指定仪表盘。

log:UpdateDashboard

更新仪表盘。

log:DeleteDashboard

删除仪表盘。

log:CreateJob

创建任务。例如创建告警、订阅。

log:GetJob

查询任务。

log:DeleteJob

删除任务。

log:UpdateJob

更新任务。

log:PostLogStoreLogs

向指定的Logstore写入日志数据。

AliyunCSManagedNetworkRole

ACK集群网络组件使用AliyunCSManagedNetworkRole角色来访问您在其他云产品中的资源。

权限名称(Action)

说明

ecs:CreateNetworkInterface

创建一个弹性网卡(ENI)。

ecs:DescribeNetworkInterfaces

查看弹性网卡(ENI)列表。

ecs:AttachNetworkInterface

附加弹性网卡(ENI)到专有网络(VPC)类型实例上。

ecs:DetachNetworkInterface

从一台实例上分离一个弹性网卡(ENI)。

ecs:DeleteNetworkInterface

删除一个弹性网卡(ENI)。

ecs:DescribeInstanceAttribute

查询一台或多台ECS实例部分信息。

ecs:AssignPrivateIpAddresses

为一块弹性网卡分配一个或多个辅助私有IP地址。

ecs:UnassignPrivateIpAddresses

从一块弹性网卡删除一个或多个辅助私有IP地址。

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

vpc:DescribeVSwitches

查询一台或多台交换机的详细信息。

AliyunCSManagedCsiRole

ACK集群存储插件使用AliyunCSManagedCsiRole角色来访问您在其他云产品中的资源。

ECS相关权限

权限名称(Action)

说明

ecs:AttachDisk

为一台ECS实例挂载一块按量付费数据盘,或者挂载一块系统盘。

ecs:DetachDisk

从一台实例上卸载一块按量付费磁盘。

ecs:DescribeDisks

查询一块或多块您已经创建的云盘以及本地盘。

ecs:CreateDisk

创建一块按量付费或包年包月数据盘。

ecs:ResizeDisk

扩容一块云盘,支持扩容系统盘和数据盘。

ecs:CreateSnapshot

为一块云盘创建一份快照。

ecs:DeleteSnapshot

删除指定的快照。如果需要取消正在创建的快照,也可以调用该接口删除快照,即取消创建快照任务。

ecs:CreateAutoSnapshotPolicy

创建一条自动快照策略。

ecs:ApplyAutoSnapshotPolicy

为一块或者多块云盘应用自动快照策略。

ecs:CancelAutoSnapshotPolicy

取消一块或者多块云盘的自动快照策略。

ecs:DeleteAutoSnapshotPolicy

删除一条自动快照策略。

ecs:DescribeAutoSnapshotPolicyEX

查询您已创建的自动快照策略。

ecs:ModifyAutoSnapshotPolicyEx

修改一条自动快照策略。

ecs:AddTags

为ECS节点添加标签。

ecs:DescribeTags

查询标签。

ecs:DescribeSnapshots

查询一台ECS实例或一块云盘所有的快照列表。

ecs:ListTagResources

查询一个或多个ECS资源已经绑定的标签列表。

ecs:TagResources

为指定的ECS资源列表统一创建并绑定标签。

ecs:UntagResources

为指定的ECS资源列表统一解绑并删除标签。

ecs:ModifyDiskSpec

升级一块ESSD云盘的性能等级。

ecs:CreateSnapshot

为一块云盘创建一份快照。

ecs:DeleteDisk

释放一块按量付费数据盘。

ecs:DescribeInstanceAttribute

查询实例所有的属性信息。

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

NAS相关权限

权限名称(Action)

说明

nas:DescribeFileSystems

返回文件系统描述信息。

nas:DescribeMountTargets

返回挂载点描述信息。

nas:AddTags

添加或者覆盖一个或者多个标签到一个文件系统实例。

nas:DescribeTags

查询已有标签。

nas:RemoveTags

从一个文件系统实例上解绑一个或多个标签。

nas:CreateFileSystem

创建新的文件系统。

nas:DeleteFileSystem

删除已有文件系统。

nas:DescribeFileSystems

返回文件系统描述信息。

nas:ModifyFileSystem

修改文件系统信息。

nas:CreateMountTarget

创建挂载点。

nas:DeleteMountTarget

删除已有挂载点。

nas:DescribeMountTargets

返回挂载点描述信息。

nas:ModifyMountTarget

修改挂载点信息。

AliyunCSManagedCmsRole

ACK集群云监控组件使用AliyunCSManagedCmsRole角色来访问您在其他云产品中的资源。

权限名称(Action)

说明

cms:DescribeMonitorGroups

查询应用分组列表。

cms:DescribeMonitorGroupInstances

查询指定应用分组内包含的资源列表。

cms:CreateMonitorGroup

创建一个应用分组。

cms:DeleteMonitorGroup

删除指定的应用分组。

cms:ModifyMonitorGroupInstances

修改应用分组中的资源。

cms:CreateMonitorGroupInstances

添加资源到应用分组。

cms:DeleteMonitorGroupInstances

删除应用分组内的资源实例。

cms:TaskConfigCreate

创建监控任务配置。

cms:TaskConfigList

列举监控任务配置。

cms:DescribeMetricList

查询指定时间段内的云产品时序指标监控数据。

cs:DescribeMonitorToken

获取容器服务监控令牌。

ahas:GetSentinelAppSumMetric

获取AHAS Sentinel应用监控指标。

log:GetLogStoreLogs

查看Logstore日志。

slb:DescribeMetricList

查询指定时间段内的云产品时序指标监控数据。

sls:GetLogs

获取SLS服务中指定Project下某个Logstore中的日志数据。

sls:PutLogs

更新SLS服务中指定Project下某个Logstore中的日志数据。

AliyunCSManagedLogRole

ACK集群日志组件使用AliyunCSManagedLogRole角色来访问您在其他云产品中的资源。

权限名称(Action)

说明

log:CreateProject

创建一个Project。

log:GetProject

根据Project名称查询Project。

log:DeleteProject

删除一个指定的Project。

log:CreateLogStore

在Project下创建Logstore。

log:GetLogStore

查看Logstore属性。

log:UpdateLogStore

更新Logstore的属性。

log:DeleteLogStore

删除Logstore。

log:CreateConfig

创建日志采集配置。

log:UpdateConfig

更新配置内容。

log:GetConfig

获取采集配置的详细信息。

log:DeleteConfig

删除指定的日志采集配置。

log:CreateMachineGroup

根据需求创建一组机器,用于日志收集和下发配置。

log:UpdateMachineGroup

更新机器组信息。

log:GetMachineGroup

查看具体的MachineGroup信息。

log:DeleteMachineGroup

删除机器组。

log:ApplyConfigToGroup

将配置应用到机器组。

log:GetAppliedMachineGroups

获得机器组上已经被应用的机器列表。

log:GetAppliedConfigs

获得机器组上已经被应用的配置名称。

log:RemoveConfigFromMachineGroup

从机器组中删除配置。

log:CreateIndex

为指定Logstore创建索引。

log:GetIndex

查询指定Logstore的索引。

log:UpdateIndex

更新指定Logstore的索引。

log:DeleteIndex

删除指定Logstore的索引。

log:CreateSavedSearch

创建快速查询。

log:GetSavedSearch

查看指定快速查询。

log:UpdateSavedSearch

更新快速查询。

log:DeleteSavedSearch

删除快速查询。

log:CreateDashboard

创建仪表盘。

log:GetDashboard

查看指定仪表盘。

log:UpdateDashboard

更新仪表盘。

log:DeleteDashboard

删除仪表盘。

log:CreateJob

创建任务。例如创建告警、订阅。

log:GetJob

查询任务。

log:DeleteJob

删除任务。

log:UpdateJob

更新任务。

log:PostLogStoreLogs

向指定的Logstore写入日志数据。

log:CreateSortedSubStore

创建排序子存储。

log:GetSortedSubStore

获取排序子存储。

log:ListSortedSubStore

列举排序子存储。

log:UpdateSortedSubStore

更新排序子存储。

log:DeleteSortedSubStore

删除排序子存储。

log:CreateApp

日志服务APP(成本管家、日志审计)的创建权限。

log:UpdateApp

日志服务APP(成本管家、日志审计)的更新权限。

log:GetApp

日志服务APP(成本管家、日志审计)的查看权限。

log:DeleteApp

日志服务APP(成本管家、日志审计)的删除权限。

cs:DescribeTemplates

获取容器模板。

cs:DescribeTemplateAttribute

获取容器模板属性。

AliyunCSManagedVKRole

ACK集群Virtual Node组件使用AliyunCSManagedVKRole角色来访问您在其他云产品中的资源。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVSwitches

查询已创建的交换机。

vpc:DescribeVpcs

查询已创建的VPC。

vpc:AssociateEipAddress

将弹性公网IP(EIP)绑定到同地域的云产品实例上。

vpc:DescribeEipAddresses

查询指定地域已创建的EIP。

vpc:AllocateEipAddress

申请弹性公网IP(EIP)。

vpc:ReleaseEipAddress

释放指定的弹性公网IP(EIP)。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeSecurityGroups

查询您创建的安全组的基本信息。

ecs:CreateNetworkInterface

创建一个弹性网卡(ENI)。

ecs:CreateNetworkInterfacePermission

创建弹性网卡(ENI)权限。

ecs:DescribeNetworkInterfaces

查看弹性网卡(ENI)列表。

ecs:AttachNetworkInterface

附加一个弹性网卡(ENI)到一台专有网络VPC类型ECS实例上。

ecs:DetachNetworkInterface

从一台ECS实例上分离一个弹性网卡(ENI)。

ecs:DeleteNetworkInterface

删除一个弹性网卡(ENI)。

ecs:DeleteNetworkInterfacePermission

删除弹性网卡(ENI)权限。

VPTZ相关权限

权限名称(Action)

说明

pvtz:AddZone

创建私有区域。

pvtz:DeleteZone

删除私有区域。

pvtz:DescribeZones

查询用户的区域列表。

pvtz:DescribeZoneInfo

获取指定区域的详细信息。

pvtz:BindZoneVpc

绑定或者解绑区域与VPC列表两者之间的关系。

pvtz:AddZoneRecord

添加私有区域的解析记录。

pvtz:DeleteZoneRecord

删除解析记录。

pvtz:DescribeZoneRecords

查询解析记录列表。

ECI相关权限

权限名称(Action)

说明

eci:CreateContainerGroup

创建一个容器组。

eci:DeleteContainerGroup

删除一个容器组。

eci:DescribeContainerGroups

批量获取容器组信息。

eci:DescribeContainerLog

获取容器组日志信息。

eci:UpdateContainerGroup

更新实例。

eci:UpdateContainerGroupByTemplate

通过模板更新ECI实例。

eci:CreateContainerGroupFromTemplate

通过模板创建ECI实例。

eci:RestartContainerGroup

重启ECI实例。

eci:ExportContainerGroupTemplate

导出用户创建ECI的模板。

eci:DescribeContainerGroupMetric

查询一个ECI的监控信息。

eci:DescribeMultiContainerGroupMetric

同时查询多个容器组的监控信息。

eci:ExecContainerCommand

在容器内部执行命令。

eci:CreateImageCache

制作镜像缓存。

eci:DescribeImageCaches

查询镜像缓存信息。

eci:DeleteImageCache

删除镜像缓存。

AliyunCSManagedArmsRole

ACK集群应用实时监控插件使用AliyunCSManagedArmsRole角色来访问您在其他云产品中的资源。

权限名称(Action)

说明

arms:CreateApp

创建应用监控。

arms:DeleteApp

删除应用监控。

arms:ConfigAgentLabel

修改应用监控Agent的标签。

arms:GetAssumeRoleCredentials

获取应用监控角色扮演密钥凭证。

arms:CreateProm

创建阿里云Prometheus监控。

arms:SearchEvents

查询报警事件记录。

arms:SearchAlarmHistories

查询告警历史发送记录。

arms:SearchAlertRules

查询监控告警规则。

arms:GetAlertRules

获取监控告警规则。

arms:CreateAlertRules

创建监控告警规则。

arms:UpdateAlertRules

更新监控告警规则。

arms:StartAlertRule

启动监控告警规则。

arms:StopAlertRule

停止监控告警规则。

arms:CreateContact

创建告警联系人。

arms:SearchContact

查询告警联系人。

arms:UpdateContact

更新告警联系人。

arms:CreateContactGroup

创建告警联系人分组。

arms:SearchContactGroup

查询告警联系人分组。

arms:UpdateContactGroup

更新告警联系人分组。

AliyunCSManagedAcrRole

ACK托管集群ACK Serverless集群的镜像拉取免密插件使用该角色访问您在ACR容器镜像服务中的资源。

权限名称(Action)

说明

cr:GetAuthorizationToken

获取用于登录实例的临时账号和临时密码。

cr:ListInstanceEndpoint

查询实例网络访问入口列表。

cr:PullRepository

拉取镜像。

AliyunCSManagedNlcRole

ACK托管集群的托管节点池控制组件使用该角色访问您的ECS和ACK节点池资源。

ECS相关权限

权限名称(Action)

说明

ecs:ModifyInstanceAttribute

修改一台ECS实例的部分信息,包括实例密码、名称、描述、主机名、所属安全组和自定义数据等。如果是突发性能实例,还可以切换这台实例的性能突发模式。

ecs:AttachKeyPair

绑定一个SSH密钥对到一台或多台Linux实例。

ecs:StopInstance

停止一台运行中(Running)的ECS实例。成功调用接口后,实例从停止中(Stopping)变成已停止(Stopped)状态。

ecs:StartInstance

启动一台ECS实例,接口调用成功后实例进入启动中状态。

ecs:DescribeInvocations

查询云助手命令的执行列表和状态。

ecs:DescribeInstanceAttribute

查询实例所有的属性信息,例如实例ID、实例的备注信息。

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

ecs:DeleteInstance

释放一台按量付费实例或者到期的包年包月实例。

ecs:RunCommand

在一台或多台ECS实例中执行一段Shell、PowerShell或者Bat类型的脚本。

ecs:DescribeInvocationResults

查看一条或多条云助手命令的执行结果,即在ECS实例中的实际执行结果。

ecs:ReplaceSystemDisk

更换一台ECS实例的系统盘或者操作系统。系统盘的云盘ID会发生变化,原云盘会被释放。

ecs:DescribeUserData

查询一台ECS实例的自定义数据。

ESS相关权限

权限名称

说明

ess:DescribeScalingGroups

查询伸缩组。

ess:DescribeScalingConfigurations

查询伸缩配置的信息。

CS相关权限

权限名称(Action)

说明

cs:RepairClusterNodePool

修复指定的托管节点池内指定节点存在的问题。

cs:DescribeClusterNodePoolDetail

根据节点池ID,查询集群中该节点池的详情。

cs:DescribeTaskInfo

根据任务ID,查询该任务执行详情。

cs:FixNodePoolVuls

自动修复指定集群节点池的漏洞。

cs:DescribeTaskInfo

根据任务ID,查询该任务执行详情。

cs:CancelTask

取消集群任务执行。

cs:PauseTask

暂停执行中的集群任务。

cs:ResumeTask

恢复已暂停的集群任务。

cs:DescribeNodePoolVuls

查询指定集群节点池的漏洞列表。

AliyunCSManagedAutoScalerRole

ACK托管集群ACK Serverless集群的弹性伸缩组件使用该角色访问您在ESS和ECS服务中的资源。

ESS相关权限

权限名称(Action)

说明

ess:DescribeScalingGroups

查询伸缩组。

ess:DescribeScalingInstances

查询伸缩组内ECS实例的列表,并列出ECS实例的信息。

ess:DescribeScalingActivities

查询伸缩活动。

ess:DescribeScalingConfigurations

查询伸缩配置的信息。

ess:DescribeScalingRules

查询伸缩组下的伸缩规则,并列出伸缩规则的信息。

ess:DescribeScheduledTasks

查询定时任务的信息。

ess:DescribeLifecycleHooks

查询生命周期挂钩。

ess:DescribeNotificationConfigurations

查询您创建的弹性伸缩事件及资源变化通知。

ess:DescribeNotificationTypes

查询弹性伸缩事件及资源变化通知的类型。

ess:DescribeRegions

查询可以使用弹性伸缩服务的地域。

ess:CreateScalingRule

创建一条伸缩规则。

ess:ModifyScalingGroup

修改一个伸缩组。

ess:RemoveInstances

从一个伸缩组删除一台或多台ECS实例或ECI实例。

ess:ExecuteScalingRule

执行一条伸缩规则。

ess:ModifyScalingRule

修改一条伸缩规则。

ess:DeleteScalingRule

删除一条伸缩规则。

ess:DetachInstances

从一个伸缩组移出一台或多台ECS实例或ECI实例。

ess:CompleteLifecycleAction

提前结束伸缩活动的等待状态。

ess:ScaleWithAdjustment

基于指定调整规则触发弹性扩缩容。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeInstanceTypes

查询云服务器ECS提供的所有实例规格的信息,也可以查询指定实例规格的信息。

ecs:DescribeImages

查询您可以使用的OS镜像资源。

CS相关权限

权限名称(Action)

说明

cs:DeleteClusterNodes

根据节点名称,移除集群中指定节点。

cs:DescribeClusterNodes

根据集群ID,查询该集群中的所有节点的详情。

VPC相关权限

权限名称(Action)

说明

vpc:DescribeVSwitches

查询可组网的信息,内网按vSwitch进行组网。

AliyunCSManagedSecurityRole

ACK托管集群ACK Serverless集群的落盘加密插件使用该角色访问您在KMS服务中的资源。

KMS相关权限

权限名称(Action)

说明

kms:GetSecretValue

获取凭据值。

kms:ListSecrets

查询当前用户在当前地域创建的所有凭据。

kms:ListKeys

查询调用者在调用地域的所有主密钥ID。

kms:ListSecretVersionIds

查询凭据的所有版本信息。

kms:ListAliasesByKeyId

查询与指定主密钥(CMK)对应的所有别名。

kms:SetDeletionProtection

为用户主密钥(CMK)开启或关闭删除保护。

kms:DescribeKey

查询用户主密钥(CMK)详情。

kms:Encrypt

使用对称主密钥(Symmetric CMK)将明文加密为密文。

kms:Decrypt

解密CiphertextBlob中的密文。

AliyunCSManagedCostRole

ACK托管集群ACK Serverless集群的成本分析组件使用该角色访问您在账单管理API、ECS和ECI服务中的资源。

BSS OpenAPI相关权限

权限名称(Action)

说明

bssapi:QueryInstanceBill

查询用户某个账期内所有商品实例或计费项的消费汇总。API已升级为DescribeInstanceBill,此API不再提供50000行以后数据的查询。

bssapi:DescribeInstanceBill

查询用户某个账期内所有商品实例或计费项的消费汇总。

ECS相关权限

权限名称(Action)

说明

ecs:DescribeDisks

查询一块或多块已经创建的块存储(包括云盘和本地盘)。

ecs:DescribeSpotPriceHistory

查询抢占式实例近30天内的历史价格。

ecs:DescribeInstances

查询一台或多台ECS实例的详细信息。

ecs:DescribePrice

查询云服务器ECS资源的最新价格。

ECI相关权限

权限名称(Action)

说明

eci: DescribeContainerGroupPrice

查询实例的价格。

AliyunCSManagedNimitzRole

ACK灵骏集群的网络组件使用该角色访问您在智能计算灵骏服务中的资源。

eflo相关权限

权限名称

说明

eflo:ListNetworkInterfaces

查询灵骏网卡列表信息。

eflo:GetNetworkInterface

查询某张网卡实例信息。

eflo:AssignPrivateIpAddress

为当前的灵骏网卡申请辅助私网IP,以及可选自动分配辅助MAC地址。

eflo:UnAssignPrivateIpAddress

将分配的辅助私网IP地址删除。

eflo:UpdateNetworkInterfacePrivateMac

修改私网IP的MAC地址。

AliyunCSManagedBackupRestoreRole

ACK托管集群的备份中心组件使用该角色访问您在云备份(Cloud Backup)服务和OSS服务中的资源。

云备份相关权限

权限名称(Action)

说明

hbr:CreateVault

创建一个备份仓库。

hbr:CreateBackupJob

创建一个手动备份任务。

hbr:DescribeVaults

获取一个或者多个符合条件的备份仓库信息。

hbr:DescribeBackupJobs2

查询一个或者多个符合条件的备份任务。

hbr:DescribeRestoreJobs

查询一个备份恢复任务。

hbr:SearchHistoricalSnapshots

获取一个或者多个符合条件的历史备份快照。

hbr:CreateRestoreJob

创建一个恢复任务。

hbr:AddContainerCluster

注册一个容器集群。

hbr:DescribeContainerCluster

查询符合条件的一个或多个容器集群。

hbr:DescribeRestoreJobs2

查询一个或者多个符合条件的恢复任务。

OSS相关权限

权限

说明

oss:PutObject

上传文件(Object)。

oss:IsObjectExist

判断文件对象是否存在。

oss:ListObjects

列举存储空间(Bucket)中所有文件(Object)的信息。

oss:GetObject

获取某个文件(Object)。

oss:DeleteObject

删除文件(Object)。

oss:GetBucket

获取桶信息。

AliyunCSManagedEdgeRole

ACK Edge集群的管控组件使用该角色访问您在SLB、VPC、ENS等服务中的资源。

SLB相关权限

权限名称(Action)

说明

slb:CreateLoadBalancer

创建负载均衡实例。

slb:DeleteLoadBalancer

删除负载均衡实例。

slb:DescribeLoadBalancers

查询已经创建的负载均衡实例。

slb:DescribeLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

slb:CreateAccessControlList

创建访问控制策略组。

slb:DeleteAccessControlList

删除访问控制策略组。

slb:AddAccessControlListEntry

在访问控制策略组中添加IP条目。

slb:RemoveAccessControlListEntry

在访问控制策略组中删除IP条目。

slb:DescribeAccessControlListAttribute

查询访问控制策略组的配置。

slb:DescribeAccessControlLists

查询已经创建的访问控制实例。

slb:TagResources

为资源打标。

VPC相关权限

权限名称(Action)

说明

vpc:AllocateEipAddress

分配EIP地址。

vpc:AssociateEipAddress

关联EIP地址。

vpc:UnassociateEipAddress

解绑EIP地址。

vpc:ReleaseEipAddress

释放弹性公网IP。

vpc:DescribeEipAddresses

查询EIP配置。

vpc:DescribeVpcs

查询已创建的VPC。

vpc:DescribeRouteEntryList

查询路由条目列表。

ENS相关权限

权限名称(Action)

说明

ens:CreateLoadBalancer

创建负载均衡实例。

ens:ReleaseInstance

释放负载均衡实例。

ens:SetLoadBalancerStatus

修改一个负载均衡实例的状态。

ens:ModifyLoadBalancerAttribute

修改一个负载均衡实例的信息。

ens:SetBackendServers

设置后端服务器权重。

ens:AddBackendServers

添加后端服务器。

ens:RemoveBackendServers

移除后端服务器。

ens:CreateLoadBalancerUDPListener

创建UDP监听。

ens:SetLoadBalancerUDPListenerAttribute

修改UDP协议监听的配置。

ens:CreateLoadBalancerTCPListener

创建TCP监听。

ens:SetLoadBalancerTCPListenerAttribute

修改TCP监听的配置。

ens:StartLoadBalancerListener

启动监听。

ens:StopLoadBalancerListener

停止监听。

ens:DeleteLoadBalancerListener

删除监听。

ens:CreateLoadBalancerHTTPListener

创建HTTP监听。

ens:SetLoadBalancerHTTPListenerAttribute

修改HTTP协议监听的配置。

ens:CreateLoadBalancerHTTPSListener

创建HTTPS监听。

ens:SetLoadBalancerHTTPSListenerAttribute

修改HTTPS协议监听的配置。

ens:CreateEipInstance

创建EIP实例。

ens:ModifyEnsEipAddressAttribute

修改指定EIP的名称、描述信息。

ens:AssociateEnsEipAddress

将弹性公网IP(EIP)绑定到同地域的云产品实例上。

ens:UnAssociateEnsEipAddress

弹性公网IP(EIP)从绑定的云产品上解绑。

ens:DescribeNetworks

查询专用网络列表。

ens:DescribeInstances

查询一台或多台实例的详细信息。

ens:DescribeLoadBalancers

查询已创建的负载均衡实例。

ens:DescribeLoadBalancerAttribute

查询指定负载均衡实例的详细信息。

ens:DescribeLoadBalancerUDPListenerAttribute

查询UDP监听的配置。

ens:DescribeLoadBalancerTCPListenerAttribute

查询TCP监听配置。

ens:DescribeLoadBalancerHTTPListenerAttribute

查询HTTP监听的配置。

ens:DescribeLoadBalancerHTTPSListenerAttribute

查询HTTPS监听的配置。

ens:DescribeEnsEipAddresses

查询已创建的EIP。