在RAM用户调用API前,需要阿里云主账号通过创建授权策略对RAM用户进行授权。

资源授权

默认RAM用户没有权限通过调用API去创建、修改云资源。RAM用户调用API时,需要先创建一个授权策略,然后将这个授权策略关联给对应的RAM用户完成资源授权。

在创建授权策略时,您可以通过ARN(Aliyun Resource Name)指定要授权的资源。ARN是阿里云为每个资源定义的一个全局的阿里云资源名称。ARN格式如下。
acs:service-name:region:account-id:resource-relative-id
其中:
  • acs:Alibaba Cloud Service的首字母缩写,表示阿里云的公共云平台。
  • service-name:阿里云云服务的名称,例如ECS、OSS、ROS等。
  • region:地域信息。如果不支持该项,可以使用通配符星号(*)来代替。

  • account-id:账号ID,例如123456789012****。

  • resource-relative-id:具体的资源描述,不同的云产品的资源描述也不同,详情参见各云产品的开发文档。

    例如acs:oss:123456789012****:sample_bucket/file1.txt表示OSS服务中对象名称是sample_bucket/file1.txt的资源,对象的所有者UID为123456789012****

可授权的资源编排资源类型

资源类型 授权策略中的资源描述方法
Stack acs:ros:$regionid:$accountid:stack/$stackid
acs:ros:$regionid:$accountid:stack/*
Template acs:ros:$regionid:$accountid:template/$templateid
acs:ros:$regionid:$accountid:template/*
StackGroup acs:ros:$regionid:$accountid:stack_group/*

可授权的资源编排接口

下表列举了资源编排中可授权的API及其描述方式。

API 资源描述
CreateStack acs:ros:$regionid:$accountid:stack/*
UpdateStack acs:ros:$regionid:$accountid:stack/$stackid
DeleteStack acs:ros:$regionid:$accountid:stack/$stackid
GetStack acs:ros:$regionid:$accountid:stack/$stackid
ListStacks acs:ros:$regionid:$accountid:stack/*
PreviewStack acs:ros:$regionid:$accountid:stack/*
GetTemplateEstimateCost acs:ros:$regionid:$accountid:*
CancelUpdateStack acs:ros:$regionid:$accountid:stack/$stackid
ContinueCreateStack acs:ros:$regionid:$accountid:stack/$stackid
SetStackPolicy acs:ros:$regionid:$accountid:stack/$stackid
GetStackPolicy acs:ros:$regionid:$accountid:stack/$stackid
GetTemplate acs:ros:$regionid:$accountid:stack/$stackid
acs:ros:$regionid:$accountid:template/$templateid
CreateChangeSet 当ChangeSetType为CREATE时,acs:ros:$regionid:$accountid:stack/*。
当ChangeSetType为UPDATE时,acs:ros:$regionid:$accountid:stack/$stackid。
GetChangeSet acs:ros:$regionid:$accountid:stack/$stackid
ListChangeSets acs:ros:$regionid:$accountid:stack/$stackid
ExecuteChangeSet acs:ros:$regionid:$accountid:stack/$stackid
DeleteChangeSet acs:ros:$regionid:$accountid:stack/$stackid
ListStackEvents acs:ros:$regionid:$accountid:stack/$stackid
ListStackResources acs:ros:$regionid:$accountid:stack/$stackid
GetStackResource acs:ros:$regionid:$accountid:stack/$stackid
SignalResource acs:ros:$regionid:$accountid:stack/$stackid
DetectStackDrift acs:ros:$regionid:$accountid:stack/$stackid
DetectStackResourceDrift acs:ros:$regionid:$accountid:stack/$stackid
GetStackDriftDetectionStatus acs:ros:$regionid:$accountid:stack/$stackid
ListStackResourceDrifts acs:ros:$regionid:$accountid:stack/$stackid
DetectStackGroupDrift acs:ros:$regionid:$accountid:stack_group/*
UpdateStackTemplateByResources acs:ros:$regionid:$accountid:stack/$stackid