鉴权规则

默认情况下，您能使用 ECS API 完整操作自己创建的 ECS 资源。但子账号刚创建时没有权限操作主账号的资源，或者从其他服务访问 ECS 时，会涉及到操作授权问题。所以当您操作某些具有权限控制的 ECS 资源前，需要资源拥有者授权目标资源和目标 API 行为权限。如果您不需要跨账户授权和访问 ECS 实例资源，您可以跳过此章节。在了解如何使用访问控制 RAM 授权和访问 ECS 实例之前，确保您已阅读了 RAM 产品文档 和 API 文档。当其他账号通过 ECS API 访问主账号的 ECS 资源时，我们首先向 RAM 发起权限检查，以确保资源拥有者的确将相关资源的相关权限授予了调用者。不同的 ECS API 会根据涉及的资源以及 API 语义确定需要检查哪些资源的权限。具体地，部分 API 的鉴权规则如下表所示。

[tr=rgb(51, 205, 229)][td]Action 鉴权规则AddTagsacs:ecs:$regionid:$accountid:$resourceType/$resourceIdAllocatePublicIpAddressacs:ecs:$regionid:$accountid:instance/$instanceIdApplyAutoSnapshotPolicyacs:ecs:*:$accountid:snapshot/*AttachClassicLinkVpcacs:ecs:$regionid:$accountid:instance/$instanceIdAttachDisk

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:instance/$diskId

AttachKeyPair

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:keypair/$keypairName

AuthorizeSecurityGroupacs:ecs:$regionid:$accountid:securitygroup/$groupNoAuthorizeSecurityGroupEgressacs:ecs:$regionid:$accountid:securitygroup/$groupNoCancelAutoSnapshotPolicyacs:ecs:*:$accountid:snapshot/*CancelCopyImageacs:ecs:$regionid:$accountid:image/$imageNoCopyImage

• acs:ecs:$fromRegionid:$accountid:image/$imageNo
• acs:ecs:$toRegionid:$accountid:image/*

ConvertNatPublicIpToEipacs:ecs:$regionid:$accountid:instance/$instanceIdCreateAutoSnapshotPolicyacs:ecs:*:$accountid:snapshot/*CreateDisk

• acs:ecs:$regionid:$accountid:disk/*
• acs:ecs:$regionid:$accountid:snapshot/$snapshotId

CreateImage

• acs:ecs:$regionid:$accountid:image/*
• acs:ecs:$regionid:$accountid:snapshot/$snapshotId
• acs:ecs:$regionid:$accountid:instance/$instanceId

CreateInstance

• acs:ecs:$regionid:$accountid:instance/*
• acs:ecs:$regionid:$accountid:image/$imageNo
• acs:ecs:$regionid:$accountid:securitygroup/$groupNo
• acs:ecs:$regionid:$accountid:snapshot/$snapshotId
• （可选）acs:ecs:$regionid:$accountid:keypair/$keyPairName
• acs:vpc:$regionid:$accountid:vswitch/$vswitchId
• acs:vpc:$regionid:$accountid:vpc/$vpcId

CreateKeyPairacs:ecs:$regionid:$accountid:keypair/*CreateSecurityGroupacs:ecs:$regionid:$accountid:securitygroup/*CreateSnapshot

• acs:ecs:$regionid:$accountid:snapshot/*
• acs:ecs:$regionid:$accountid:disk/$diskId
• acs:ecs:$regionid:$accountid:volume/$volumeId

DeleteAutoSnapshotPolicyacs:ecs:*:$accountid:snapshot/*DeleteDiskacs:ecs:$regionid:$accountid:disk/$diskIdDeleteImageacs:ecs:$regionid:$accountid:image/$imageNoDeleteInstanceacs:ecs:$regionid:$accountid:instance/$instanceIdDeleteKeyPairsacs:ecs:$regionid:$accountid:keypair/$keyPairNameDeleteSecurityGroupacs:ecs:$regionid:$accountid:securitygroup/$groupNoDeleteSnapshotacs:ecs:$regionid:$accountid:snapshot/$snapshotIdDescribeClassicLinkInstancesacs:ecs:$regionid:$accountid:instance/*DescribeDiskMonitorDataacs:ecs:$regionid:$accountid:disk/$diskIdDescribeDisks

• acs:ecs:$regionid:$accountid:disk/$diskId
• acs:ecs:$regionid:$accountid:disk/*

DescribeImages

• acs:ecs:$regionid:$accountid:image/$imageNo
• acs:ecs:$regionid:$accountid:image/*

DescribeInstanceAttributeacs:ecs:$regionid:$accountid:instance/$instanceIdDescribeInstanceMonitorDataacs:ecs:$regionid:$accountid:instance/$instanceIdDescribeInstances

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:instance/*

DescribeInstanceStatusacs:ecs:$regionid:$accountid:instance/*DescribeInstanceVncPasswdacs:ecs:$regionid:$accountid:instance/$instanceIdDescribeInstanceVncUrlacs:ecs:$regionid:$accountid:instance/$instanceIdDescribeKeyPairs

• acs:ecs:$regionid:$accountid:keypair/$keyPairName
• acs:ecs:$regionid:$accountid:keypair/*

DescribePriceacs:ecs:*:$accountid:*DescribeRenewalPriceacs:ecs:$regionid:$accountid:instance/$instanceIdDescribeSecurityGroupAttributeacs:ecs:$regionid:$accountid:securitygroup/$groupNoDescribeSecurityGroups

• acs:ecs:$regionid:$accountid:securitygroup/$groupNo
• acs:ecs:$regionid:$accountid:securitygroup/*

DescribeSnapshotAttributeacs:ecs:$regionid:$accountid:snapshot/$snapshotIdDescribeSnapshotLinks

• acs:ecs:$regionid:$accountid:disk/$diskId
• acs:ecs:$regionid:$accountid:disk/*

DescribeSnapshotMonitorDataacs:ecs:*:$accountid:snapshot/*DescribeSnapshots

• acs:ecs:$regionid:$accountid:snapshot/$snapshotId
• acs:ecs:$regionid:$accountid:snapshot/*

DescribeTagsacs:ecs:$regionid:$accountid:$resourceType/$resourceIdDetachClassicLinkVpcacs:ecs:$regionid:$accountid:instance/$instanceIdDetachDisk

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:instance/$diskId

DetachKeyPair

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:keypair/$keypairName

ExportImageacs:ecs:$regionid:$accountid:image/$imageNoImportImageacs:ecs:$regionid:$accountid:image/*ImportKeyPairacs:ecs:$regionid:$accountid:keypair/*JoinSecurityGroup

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:securitygroup/$groupNo

LeaveSecurityGroup

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:securitygroup/$groupNo

ModifyAutoSnapshotPolicyacs:ecs:*:$accountid:snapshot/*ModifyDiskAttributeacs:ecs:$regionid:$accountid:disk/$diskIdModifyImageAttributeacs:ecs:$regionid:$accountid:image/$imageNoModifyInstanceAttributeacs:ecs:$regionid:$accountid:instance/$instanceIdModifyInstanceAutoReleaseTimeacs:ecs:$regionid:$accountid:instance/$instanceIdModifyInstanceChargeTypeacs:ecs:$regionid:$accountid:instance/$instanceIdModifyInstanceNetworkSpecacs:ecs:$regionid:$accountid:instance/$instanceIdModifyInstanceVncPasswdacs:ecs:$regionid:$accountid:instance/$instanceIdModifyInstanceVpcAttribute

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:vswitch/$vSwitchId

ModifySecurityGroupAttributeacs:ecs:$regionid:$accountid:securitygroup/$groupNoModifySecurityGroupEgressRuleacs:ecs:$regionid:$accountid:securitygroup/$groupNoModifySecurityGroupRuleacs:ecs:$regionid:$accountid:securitygroup/$groupNoModifyPrepayInstanceSpec acs:ecs:$regionid:$accountid:ModifySnapshotAttributeacs:ecs:$regionid:$accountid:snapshot/$snapshotIdRebootInstanceacs:ecs:$regionid:$accountid:instance/$instanceIdReInitDiskacs:ecs:$regionid:$accountid:disk/$diskIdReleasePublicIpAddressacs:ecs:$regionid:$accountid:instance/$instanceIdRemoveTagsacs:ecs:$regionid:$accountid:$resourceType/$resourceIdRenewInstanceacs:ecs:$regionid:$accountid:instance/$instanceIdReplaceSystemDisk

• acs:ecs:$regionid:$accountid:instance/$instanceId
• acs:ecs:$regionid:$accountid:image/$imageNo

ResetDiskacs:ecs:$regionid:$accountid:disk/$diskIdResizeDiskacs:ecs:$regionid:$accountid:disk/$diskIdRevokeSecurityGroupacs:ecs:$regionid:$accountid:securitygroup/$groupNoRevokeSecurityGroupEgressacs:ecs:$regionid:$accountid:securitygroup/$groupNoRunInstances

• acs:ecs:$regionid:$accountid:instance/*
• acs:ecs:$regionid:$accountid:image/$imageNo
• acs:ecs:$regionid:$accountid:securitygroup/$groupNo
• acs:ecs:$regionid:$accountid:snapshot/$snapshotId
• acs:ecs:$regionid:$accountid:keypair/$keyPairName

StartInstanceacs:ecs:$regionid:$accountid:instance/$instanceIdStopInstanceacs:ecs:$regionid:$accountid:instance/$instanceId


相关文档

• 授权 RAM 用户使用 API
• 概述
• 云服务器 ECS 授权
• API 概览
• 支持 RAM 的云服务
• 简介

相关产品

• 云服务器 ECS
  云服务器（Elastic Compute Service，简称 ...查看详情
• 专有网络 VPC
  专有网络VPC（Virtual Private Cloud）是用...查看详情
• 云虚拟主机
  阿里云虚拟主机主要用于搭建网站，提供预装网站运行环境，赠送正版数...查看详情