为了保障云产品的服务可用,并防止您误操作资源。当您使用需要创建安全组的云产品时,云产品系统将选择创建托管模式的安全组,即托管安全组。本文主要介绍托管安全组及相关权限。

背景信息

托管模式下的安全组称为托管安全组。该模式是为了解决部分云产品(例如:云防火墙、NAT网关等)的安全组操作权限控制问题。该类安全组由云产品系统管理,您只有查看权限,没有操作权限。详细说明如下:
说明 创建托管安全组的方式是阿里云云产品通过阿里云临时安全令牌(Security Token Service,STS)授权您的账号的RAM角色自动进行的。关于STS的详细信息,请参见 什么是STS
  • 通过云产品控制台,您不能操作托管安全组,仅能在控制台界面查看托管安全组的相关信息。
  • 通过OpenAPI访问托管安全组,您仅能调用查询接口。如果您调用操作安全组相关的接口,将提示您该安全组为云产品系统管理的安全组,您无法操作,即返回包含错误码InvalidOperation.ResourceManagedByCloudProduct的错误信息。具体权限,请参见托管安全组的OpenAPI权限说明

您可以通过调用DescribeSecurityGroups接口,查看返回值参数ServiceManagedServiceID,确认相关的安全组是否为托管安全组。

托管安全组的OpenAPI权限说明

API 操作 您的阿里云账号 创建托管安全的云产品系统
AuthorizeSecurityGroup
  • 增加安全组入方向规则
  • 入方向授权托管安全组的访问权限
不可操作 可以操作
AuthorizeSecurityGroupEgress
  • 增加安全组出方向规则
  • 出方向授权托管安全组的访问权限
不可操作 可以操作
RevokeSecurityGroup 删除安全组入方向规则 不可操作 可以操作
RevokeSecurityGroupEgress 删除安全组出方向规则 不可操作 可以操作
JoinSecurityGroup 加入安全组 不可操作 可以操作
LeaveSecurityGroup 离开安全组 不可操作 可以操作
DeleteSecurityGroup 删除安全组 不可操作 可以操作
ModifySecurityGroupAttribute 修改安全组 不可操作 可以操作
ModifySecurityGroupRule 修改安全组入方向规则描述 不可操作 可以操作
ModifySecurityGroupEgressRule 修改安全组出方向规则描述 不可操作 可以操作
ModifySecurityGroupPolicy 修改安全组策略 不可操作 可以操作
DescribeSecurityGroupAttribute 查询安全组规则 可以操作 可以操作
DescribeSecurityGroups 查询安全组列表 可以操作 可以操作
DescribeSecurityGroupReferences 查询安全组和其他哪些安全组有安全组级别的授权行为 可以操作 可以操作
CreateNetworkInterface 创建弹性网卡 不可操作 可以操作
ModifyNetworkInterfaceAttribute 修改弹性网卡 不可操作 可以操作
RunInstances 创建实例 不可操作 可以操作
CreateInstance 创建实例 不可操作 可以操作
ModifyInstanceAttribute 修改实例的安全组 不可操作 可以操作