托管弹性网卡是一种特殊管理模式的弹性网卡。部分云产品(例如容器服务ACK、NAT网关等)需要基于弹性网卡能力提供相应服务时,您可以将基于云产品创建的弹性网卡的生命周期管理权限授权给云产品系统,由云产品负责管理,从而防止您误操作网卡并保障云产品服务可用。
功能介绍
将弹性网卡托管给云产品系统管理,可以解决云产品对弹性网卡操作权限控制问题。托管后,通过云产品或者ECS控制台访问托管弹性网卡时,您只能查看托管弹性网卡的相关信息,不能操作托管弹性网卡。
创建托管弹性网卡过程如下:
您通过阿里云临时安全令牌STS(Security Token Service)为云产品授权后,云产品通过调用ECS的CreateNetworkInterface接口创建弹性网卡。关于STS的更多信息,请参见什么是STS。
您可以通过调用查询接口DescribeNetworkInterfaces,查看返回值参数ServiceManaged和Description,确认相关的弹性网卡是否为托管弹性网卡。
如果为托管弹性网卡,则ServiceManaged为true, Description显示云产品名称。
托管弹性网卡的OpenAPI权限说明
通过OpenAPI访问托管弹性网卡时,您仅能调用查询接口。如果您调用相关操作接口,将提示您该弹性网卡为云产品系统管理的弹性网卡,您无法操作,即返回InvalidOperation.EniServiceManaged的错误信息。关于各OpenAPI的具体权限如下表所示。
API | 操作 | 您的阿里云账号 | 创建托管安全的云产品系统 |
DescribeNetworkInterfaces | 查询弹性网卡 | 可以操作 | 可以操作 |
DeleteNetworkInterface | 删除弹性网卡 | 不可操作 | 可以操作 |
ModifyNetworkInterfaceAttribute | 修改弹性网卡的名称、描述及所属安全组等信息 | 不可操作 | 可以操作 |
AttachNetworkInterface | 绑定弹性网卡 | 不可操作 | 可以操作 |
DetachNetworkInterface | 解绑弹性网卡 | 不可操作 | 可以操作 |
AssignPrivateIpAddresses | 为弹性网卡分配辅助私网IP地址 | 不可操作 | 可以操作 |
UnassignPrivateIpAddresses | 回收弹性网卡的辅助私网IP地址 | 不可操作 | 可以操作 |
AssignIpv6Addresses | 为弹性网卡分配IPv6地址 | 不可操作 | 可以操作 |
UnassignIpv6Addresses | 回收弹性网卡的IPv6地址 | 不可操作 | 可以操作 |
AssociateEipAddress | 为弹性网卡绑定EIP | 不可操作 | 可以操作 |
UnassociateEipAddress | 从弹性网卡中解绑EIP | 不可操作 | 可以操作 |
AssociateEipAddressBatch | 批量绑定EIP到弹性网卡 | 不可操作 | 可以操作 |
AllocateIpv6InternetBandwidth | 为IPv6地址购买公网带宽 | 不可操作 | 可以操作 |
ModifyIpv6InternetBandwidth | 修改IPv6公网带宽 | 可以操作 | 可以操作 |
DeleteIpv6InternetBandwidth | 删除IPv6公网带宽 | 不可操作 | 可以操作 |