当您需要为部分云产品(例如容器服务ACK、NAT网关等)创建弹性网卡时,您可以将弹性网卡托管给云产品系统管理,该模式的弹性网卡称为托管弹性网卡。该模式可以防止您误操作资源并保障云产品的服务可用。本文主要介绍托管弹性网卡及其相关权限。

功能介绍

将弹性网卡托管给云产品系统管理,可以解决云产品对弹性网卡操作权限控制问题。托管后,通过云产品或者ECS控制台访问托管弹性网卡时,您只能查看托管弹性网卡的相关信息,不能操作托管弹性网卡。
说明 创建托管弹性网卡过程如下:

您通过阿里云临时安全令牌STS(Security Token Service)为云产品授权后,云产品通过调用ECS的CreateNetworkInterface接口创建弹性网卡。关于STS的更多信息,请参见什么是STS

您可以通过调用查询接口DescribeNetworkInterfaces,查看返回值参数ServiceManagedDescription,确认相关的弹性网卡是否为托管弹性网卡。
说明 如果为托管弹性网卡,则ServiceManaged为true, Description显示云产品名称。

托管弹性网卡的OpenAPI权限说明

通过OpenAPI访问托管弹性网卡时,您仅能调用查询接口。如果您调用相关操作接口,将提示您该弹性网卡为云产品系统管理的弹性网卡,您无法操作,即返回InvalidOperation.EniServiceManaged的错误信息。关于各OpenAPI的具体权限如下表所示。
API 操作 您的阿里云账号 创建托管安全的云产品系统
DescribeNetworkInterfaces 查询弹性网卡 可以操作 可以操作
DeleteNetworkInterface 删除弹性网卡 不可操作 可以操作
ModifyNetworkInterfaceAttribute 修改弹性网卡的名称、描述及所属安全组等信息 不可操作 可以操作
AttachNetworkInterface 绑定弹性网卡 不可操作 可以操作
DetachNetworkInterface 解绑弹性网卡 不可操作 可以操作
AssignPrivateIpAddresses 为弹性网卡分配辅助私网IP地址 不可操作 可以操作
UnassignPrivateIpAddresses 回收弹性网卡的辅助私网IP地址 不可操作 可以操作
AssignIpv6Addresses 为弹性网卡分配IPv6地址 不可操作 可以操作
UnassignIpv6Addresses 回收弹性网卡的IPv6地址 不可操作 可以操作