权限及授权项说明

支持的授权项

策略包含系统策略和自定义策略，如果系统策略不满足授权要求，管理员可以创建自定义策略，并通过给用户组授予自定义策略来进行精细的访问控制。策略支持的操作与API相对应，授权项列表说明如下：

• 权限：允许或拒绝某项操作。
• 对应API接口：自定义策略实际调用的API接口。
• 授权项：自定义策略中支持的Action，在自定义策略中的Action中写入授权项，可以实现授权项对应的权限功能。
• 依赖的授权项：部分Action存在对其他Action的依赖，需要将依赖的Action同时写入授权项，才能实现对应的权限功能。
• IAM项目（Project）/企业项目（Enterprise Project）：自定义策略的授权范围，包括IAM项目与企业项目。授权范围如果同时支持IAM项目和企业项目，表示此授权项对应的自定义策略，可以在IAM和企业管理两个服务中给用户组授权并生效。如果仅支持IAM项目，不支持企业项目，表示仅能在IAM中给用户组授权并生效，如果在企业管理中授权，则该自定义策略不生效。关于IAM项目与企业项目的区别，详情请参见：IAM与企业管理的区别。

“√”表示支持，“x”表示暂不支持。

BMS服务支持的自定义策略授权项如下所示：

• 生命周期管理：包含裸金属服务器所有生命周期接口对应的授权项，例如：创建裸金属服务器、查询裸金属服务器详情等接口。
• 状态管理：包含裸金属服务器状态管理接口对应的授权项，例如：批量关闭、批量重启、批量启动裸金属服务器等。
• 密码管理：包含裸金属服务器密码相关接口对应的授权项，例如：查询裸金属服务器是否支持重置密码、重置裸金属服务器密码等接口。
• 规格查询：包含裸金属服务器规格相关接口对应的授权项，例如：查询裸金属服务器规格详情和扩展信息列表接口。
• 网卡管理：包含裸金属服务器网卡相关接口对应的授权项，例如：查询裸金属服务器网卡信息接口。
• 磁盘管理：包含裸金属服务器磁盘相关接口对应的授权项，例如：向指定裸金属服务器挂载磁盘、卸载指定裸金属服务器的磁盘等接口。
• 元数据管理：包含裸金属服务器元数据相关接口对应的授权项，例如：更新裸金属服务器元数据接口。
• 租户配额管理：包含租户配额相关接口对应的授权项，例如：查询租户配额接口。

授权项说明

• 在BMS服务中，OpenStack原生API授权项和授权项作用域与弹性云服务器的一致，具体请参考《弹性云服务器API参考》“API授权项列表”章节。
• 在IAM中自定义BMS的用户策略时，需要给BMS的用户策略中加入ecs:*:get和ecs:*:list两个权限，否则可能会因为权限不足导致部分云服务页面使用异常。
• 高速网络和自定义网络当前不支持企业项目，请用主账号使用这两个功能。
• 企业项目的子账号需要在IAM中给子账号授予vpc:ports:get权限，否则在裸金属服务器详情中弹性公网IP和安全组会显示异常。