當使用需要創建安全組的云產品時,為了保障云產品的服務可用性,云產品系統將選擇創建托管模式的安全組,即托管安全組。在多用戶、多團隊共享云資源的環境中,托管安全組能夠有效防止用戶誤操作導致的故障或安全風險,從而提高云產品整體的穩定性和安全性。本文主要介紹托管安全組的概念,以及相關OpenAPI權限的說明,幫助您更好地理解和管理托管安全組。
背景信息
在托管模式下,安全組被稱為托管安全組。這種模式旨在解決部分云產品(例如:云防火墻、NAT網關等)的安全組操作權限控制問題。托管安全組由云產品系統進行管理,您只擁有查看權限,沒有操作權限。詳細說明如下:
創建托管安全組的方式是阿里云云產品通過阿里云臨時安全令牌(Security Token Service,STS)授權您的賬號的RAM角色自動進行的。關于STS的更多信息,請參見什么是STS。
通過云產品控制臺:您不能操作托管安全組,僅能在控制臺界面查看托管安全組的相關信息。
通過OpenAPI訪問托管安全組:您僅能調用查詢接口。如果您調用操作安全組相關的接口,將提示您該安全組為云產品系統管理的安全組,您無法操作,即返回包含錯誤碼
InvalidOperation.ResourceManagedByCloudProduct的錯誤信息。具體權限,請參見托管安全組的OpenAPI權限說明。
您可以通過調用DescribeSecurityGroups接口,查看返回值參數ServiceManaged和ServiceID,確認相關的安全組是否為托管安全組。
托管安全組的OpenAPI權限說明
API | 操作 | 您的阿里云賬號 | 創建托管安全的云產品系統 |
| 不可操作 | 可以操作 | |
| 不可操作 | 可以操作 | |
刪除安全組入方向規則 | 不可操作 | 可以操作 | |
刪除安全組出方向規則 | 不可操作 | 可以操作 | |
加入安全組 | 不可操作 | 可以操作 | |
離開安全組 | 不可操作 | 可以操作 | |
刪除安全組 | 不可操作 | 可以操作 | |
修改安全組 | 不可操作 | 可以操作 | |
修改安全組入方向規則描述 | 不可操作 | 可以操作 | |
修改安全組出方向規則描述 | 不可操作 | 可以操作 | |
修改安全組策略 | 不可操作 | 可以操作 | |
查詢安全組規則 | 可以操作 | 可以操作 | |
查詢安全組列表 | 可以操作 | 可以操作 | |
查詢安全組和其他哪些安全組有安全組級別的授權行為 | 可以操作 | 可以操作 | |
創建彈性網卡 | 不可操作 | 可以操作 | |
修改彈性網卡 | 不可操作 | 可以操作 | |
創建實例 | 不可操作 | 可以操作 | |
創建實例 | 不可操作 | 可以操作 | |
修改實例的安全組 | 不可操作 | 可以操作 |