全局流量管理(GTM)提供具体的 API 鉴权规则说明,主要是应用于系统策略不能满足使用的,客户需要设置自定义权限策略。
授权粒度说明
服务级别(service):将全局流量管理(GTM)作为一个整体进行授权。全局流量管理(GTM)作为云解析DNS的子产品,可以复用云解析DNS提供的系统权限策略“AliyunDNSFullAccess”、“AliyunDNSReadyOnlyAccess”就均属于服务级别的整体授权。
操作级别(Action):是通过全局流量管理(GTM)OPEN API级别进行授权。一个RAM用户可以对全局流量管理(GTM)的某类资源执行某几个指定的操作。
资源级别(Resource):对执行资源的指定操作进行授权,例如全局流量管理(GTM)的可授权的DNS资源类别为instance。
目前,可以在 RAM 中进行授权的资源类型及描述方式如下表所示:
资源类型 | 授权策略中的资源描述方式 | 描述方式 |
|---|---|---|
instance | acs:alidns::{#accountId}:gtminstance/* | 授权子账号管理GTM实例,例如获取实例列表,获取实例详情等。 |
acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DNS资源类型说明
例如:RAM用户授权管理某个Gtm实例完全的权限,“Resource” 代表的是DNS的资源类型设置。
{
"Version": "1",
"Statement": [
{
"Action": "alidns:*",
"Resource": "acs:alidns:*:*:gtmInstance/填入您的GTM实例ID",
"Effect": "allow"
},
{
"Action": [
"alidns:DescribeGtmInstances",
"alidns:DescribeDnsGtmInstances",
"alidns:DescribeDnsGtmInstanceStatus",
"alidns:DescribeDnsGtmAvailableAlertGroup",
"alidns:DescribeDomains",
"alidns:DescribeDnsGtmAddressPoolAvailableConfig",
"alidns:DescribeDnsGtmMonitorAvailableConfig",
"alidns:GetMainDomainName",
"alidns:CheckDomainRecord"
],
"Resource": "acs:alidns::*:*",
"Effect": "allow"
}
]
}API鉴权规则
Action | 描述 | 鉴权规则 |
|---|---|---|
AddDnsGtmAddressPool | 新增地址池 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmInstanceAddressPool | 获取地址池详细信息 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmInstanceAddressPools | 获取实例地址池列表 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
UpdateDnsGtmAddressPool | 修改地址池 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DeleteDnsGtmAddressPool | 删除地址池 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmAddressPoolAvailableConfig | 获取地址池可设置配置 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmAddrAttributeInfo | 查询地址归属区域 | acs:alidns::{#accountId}:gtminstance/* |
ValidateDnsGtmAttributeInfo | 校验地址归属区域信息 | acs:alidns::{#accountId}:gtminstance/* |
DescribeDnsGtmInstances | 获取实例列表 | acs:alidns::{#accountId}:gtminstance/* |
DescribeDnsGtmInstance | 获取实例详情 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmInstanceStatus | 获取实例当前状态 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
SwitchDnsGtmInstanceStrategyMode | 切换访问策略类型 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmInstanceSystemCname | 获取系统分配的cname域名 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmAvailableAlertGroup | 获取实例可用报警组列表 | acs:alidns::{#accountId}:gtminstance/* |
UpdateDnsGtmInstanceGlobalConfig | 修改实例配置 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
AddDnsGtmAccessStrategy | 新增访问策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
UpdateDnsGtmAccessStrategy | 修改访问策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DeleteDnsGtmAccessStrategy | 删除访问策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
SetGtmAccessMode | 调整访问策略 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmAccessStrategies | 获取实例访问策略列表 | acs:alidns::{#accountId}:gtminstance/* |
DescribeDnsGtmAccessStrategy | 获取访问策略详细信息 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmAccessStrategyAvailableConfig | 获取访问策略可设置配置 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
AddDnsGtmMonitor | 添加健康检查 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
UpdateDnsGtmMonitor | 修改健康检查 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
SetDnsGtmMonitorStatus | 开启或关闭健康检查 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmMonitorConfig | 获取地址池健康检查配置 | acs:alidns::{#accountId}:gtminstance/{#instanceId} |
DescribeDnsGtmMonitorAvailableConfig | 获取健康检查可设置的配置 | acs:alidns::{#accountId}:gtminstance/* |
DescribeDnsGtmLogs | 获取日志列表 | acs:alidns::{#accountId}:gtminstance/{#instanceId}(若传入instanceId) |
acs:alidns::{#accountId}:gtminstance/*(若未传入instanceId) |