授权和授权项说明

云服务在IAM预置了常用的权限，称为系统身份策略。如果IAM系统身份策略无法满足授权要求，管理员可以根据各服务支持的授权项，创建IAM自定义身份策略来进行精细的访问控制，IAM自定义身份策略是对系统身份策略的扩展和补充。

除IAM服务外，OrganizationsOrganizations服务中的服务控制策略服务控制策略（Service Control Policy，以下简称SCP）也可以使用这些授权项元素设置访问控制策略。

SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM身份策略授予权限的有效性受SCP限制，只有在SCP允许范围内的权限才能生效。

IAM服务与Organizations服务在使用这些元素进行访问控制时，存在着一些区别，详情请参见：IAM服务与Organizations服务权限访问控制的区别《组织服务用户指南》的“IAM服务与Organizations服务权限访问控制的区别”章节。

本章节介绍IAM服务身份策略授权场景中自定义身份策略和组织服务中SCP使用的元素，这些元素包含了操作（Action）、资源（Resource）和条件（Condition）。

如何使用这些元素编辑IAM自定义身份策略，请参考创建自定义身份策略《统一身份认证服务用户指南（新版）》的“创建自定义身份策略”章节。
如何使用这些元素编辑SCP自定义策略，请参考创建SCP《组织服务用户指南》的“创建SCP”章节。

操作（Action）

操作（Action）即为身份策略中支持的授权项。

“访问级别”列描述如何对操作进行分类（List、Read和Write等）。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
“资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在身份策略语句的Resource元素中指定所有资源类型（“*”）。
- 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。
- 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。
关于CodeArts Artifact定义的资源类型的详细信息请参见资源类型（Resource）。
“条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。
- 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。
- 如果此列条件键没有值（-），表示此操作不支持指定条件键。
关于CodeArts Artifact定义的条件键的详细信息请参见条件（Condition）。
“别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项，可以控制支持策略授权的API访问。详细信息请参见身份策略兼容性说明《统一身份认证用户指南（新版）》的“身份策略兼容性说明”章节。

您可以在身份策略语句的Action元素中指定以下CodeArts Artifact的相关操作。

表1 CodeArts Artifact支持的授权项
授权项	描述	访问级别	资源类型（*为必须）	条件键	别名
codeartsartifact:repository:download	授予从制品仓读取文件和元数据的权限。	Read	-	-	-
codeartsartifact:repository:upload	授予向制品仓上传制品和元数据的权限。	Write	-	-	-
codeartsartifact:repository:deleteFromRepository	授予删除制品的权限。	Write	-	-	-
codeartsartifact:releaseRepo:download	授予从发布仓下载文件信息和元数据的权限。	Read	-	-	-
codeartsartifact:releaseRepo:read	授予从发布仓读取文件信息和元数据的权限。	Read	-	-	-
codeartsartifact:releaseRepo:upload	授予向发布仓上传文件和元数据的权限。	Write	-	-	-
codeartsartifact:releaseRepo:createFolder	授予在发布仓创建文件夹的权限。	Write	-	-	-
codeartsartifact:releaseRepo:editTestPackage	授予在发布仓编辑测试包的权限。	Write	-	-	-
codeartsartifact:releaseRepo:deleteOrRestorePackage	授予在发布仓删除或还原包的权限。	Write	-	-	-
codeartsartifact:releaseRepo:restoreTrash	授予在发布仓还原回收站的权限。	Write	-	-	-
codeartsartifact:releaseRepo:clearTrash	授予在发布仓清空回收站的权限。	Write	-	-	-
codeartsartifact:releaseRepo:changePackageStatus	授予在发布仓更改包状态的权限。	Write	-	-	-
codeartsartifact:releaseRepo:getProjectInfo	授予在发布仓查询项目信息的权限。	Read	-	-	-
codeartsartifact:releaseRepo:updateProjectConfiguration	授予在发布仓修改项目设置的权限。	Write	-	-	-
codeartsartifact:proxy:list	授予查询网络代理的权限。	List	-	-	-
codeartsartifact:proxy:create	授予创建网络代理的权限。	Write	-	-	-
codeartsartifact:proxy:update	授予更新网络代理的权限。	Write	-	-	-
codeartsartifact:proxy:delete	授予删除网络代理的权限。	Write	-	-	-
codeartsartifact:repository:create	授予创建仓库的权限。	Write	-	-	-
codeartsartifact:repository:edit	授予编辑仓库的权限。	Write	-	-	-
codeartsartifact:repository:delete	授予删除仓库的权限。	Write	-	-	-
codeartsartifact:repository:list	授予查询仓库列表信息的权限。	List	-	-	-
codeartsartifact:repository:read	授予查询仓库信息的权限。	Read	-	-	-
codeartsartifact:repository:restore	授予还原仓库的权限。	Write	-	-	-
codeartsartifact:repository:completelyDelete	授予彻底删除仓库的权限。	Write	-	-	-
codeartsartifact:repository:restoreAll	授予还原回收站的权限。	Write	-	-	-
codeartsartifact:repository:clearAll	授予清空回收站的权限。	Write	-	-	-
codeartsartifact:repository:listUsers	授予查询用户列表的权限。	List	-	-	-
codeartsartifact:repository:readUser	授予查询用户信息的权限。	Read	-	-	-
codeartsartifact:repository:updateUser	授予在私有仓更新用户的权限。	Write	-	-	-
codeartsartifact:repository:deleteUser	授予在私有仓删除用户的权限。	Write	-	-	-
codeartsartifact:repository:getSetting	授予在私有仓获取配置的权限。	Read	-	-	-
codeartsartifact:repository:resetPassword	授予在私有仓重置密码的权限。	Write	-	-	-
codeartsartifact:repository:getVersionInfo	授予在私有仓获取版本信息的权限。	Read	-	-	-
codeartsartifact:securityTask:create	授予创建SecGuard扫描任务的权限。	Write	-	-	-
codeartsartifact:securityTask:delete	授予删除SecGuard扫描任务的权限。	Write	-	-	-
codeartsartifact:securityTask:list	授予查询SecGuard扫描任务列表的权限。	List	-	-	-
codeartsartifact:securityTask:read	授予查询SecGuard扫描任务信息的权限。	Read	-	-	-
codeartsartifact:securityTask:update	授予更新SecGuard扫描任务的权限。	Write	-	-	-
codeartsartifact::getAccountInfo	授予查询租户信息的权限。	Read	-	-	-
codeartsartifact::updateAccountConfiguration	授予更新租户设置的权限。	Write	-	-	-
codeartsartifact:repository:download	授予从制品仓读取文件和元数据的权限。	Read	-	-	-
codeartsartifact:repository:upload	授予向制品仓上传制品和元数据的权限。	Write	-	-	-
codeartsartifact:repository:deleteFromRepository	授予删除制品的权限。	Write	-	-	-
codeartsartifact:releaseRepo:download	授予从发布仓下载文件信息和元数据的权限。	Read	-	-	-
codeartsartifact:releaseRepo:read	授予从发布仓读取文件信息和元数据的权限。	Read	-	-	-
codeartsartifact:releaseRepo:upload	授予向发布仓上传文件和元数据的权限。	Write	-	-	-
codeartsartifact:releaseRepo:createFolder	授予在发布仓创建文件夹的权限。	Write	-	-	-
codeartsartifact:releaseRepo:editTestPackage	授予在发布仓编辑测试包的权限。	Write	-	-	-
codeartsartifact:releaseRepo:deleteOrRestorePackage	授予在发布仓删除或还原包的权限。	Write	-	-	-
codeartsartifact:releaseRepo:restoreTrash	授予在发布仓还原回收站的权限。	Write	-	-	-
codeartsartifact:releaseRepo:clearTrash	授予在发布仓清空回收站的权限。	Write	-	-	-
codeartsartifact:releaseRepo:changePackageStatus	授予在发布仓更改包状态的权限。	Write	-	-	-
codeartsartifact:releaseRepo:getProjectInfo	授予在发布仓查询项目信息的权限。	Read	-	-	-
codeartsartifact:releaseRepo:updateProjectConfiguration	授予在发布仓修改项目设置的权限。	Write	-	-	-
codeartsartifact:proxy:list	授予查询网络代理的权限。	List	-	-	-
codeartsartifact:proxy:create	授予创建网络代理的权限。	Write	-	-	-
codeartsartifact:proxy:update	授予更新网络代理的权限。	Write	-	-	-
codeartsartifact:proxy:delete	授予删除网络代理的权限。	Write	-	-	-
codeartsartifact:repository:create	授予创建仓库的权限。	Write	-	-	-
codeartsartifact:repository:edit	授予编辑仓库的权限。	Write	-	-	-
codeartsartifact:repository:delete	授予删除仓库的权限。	Write	-	-	-
codeartsartifact:repository:list	授予查询仓库列表信息的权限。	List	-	-	-
codeartsartifact:repository:read	授予查询仓库信息的权限。	Read	-	-	-
codeartsartifact:repository:restore	授予还原仓库的权限。	Write	-	-	-
codeartsartifact:repository:completelyDelete	授予彻底删除仓库的权限。	Write	-	-	-
codeartsartifact:repository:restoreAll	授予还原回收站的权限。	Write	-	-	-
codeartsartifact:repository:clearAll	授予清空回收站的权限。	Write	-	-	-
codeartsartifact:repository:listUsers	授予查询用户列表的权限。	List	-	-	-
codeartsartifact:repository:readUser	授予查询用户信息的权限。	Read	-	-	-
codeartsartifact:repository:updateUser	授予在私有仓更新用户的权限。	Write	-	-	-
codeartsartifact:repository:deleteUser	授予在私有仓删除用户的权限。	Write	-	-	-
codeartsartifact:repository:getSetting	授予在私有仓获取配置的权限。	Read	-	-	-
codeartsartifact:repository:resetPassword	授予在私有仓重置密码的权限。	Write	-	-	-
codeartsartifact:repository:getVersionInfo	授予在私有仓获取版本信息的权限。	Read	-	-	-
codeartsartifact:securityTask:create	授予创建SecGuard扫描任务的权限。	Write	-	-	-
codeartsartifact:securityTask:delete	授予删除SecGuard扫描任务的权限。	Write	-	-	-
codeartsartifact:securityTask:list	授予查询SecGuard扫描任务列表的权限。	List	-	-	-
codeartsartifact:securityTask:read	授予查询SecGuard扫描任务信息的权限。	Read	-	-	-
codeartsartifact:securityTask:update	授予更新SecGuard扫描任务的权限。	Write	-	-	-
codeartsartifact::getAccountInfo	授予查询租户信息的权限。	Read	-	-	-
codeartsartifact::updateAccountConfiguration	授予更新租户设置的权限。	Write	-	-	-

CodeArts Artifact的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。

表2 API与授权项的关系
API	对应的授权项	依赖的授权项
GET /devreposerver/v2/release/{project_id}/files	codeartsartifact:releaseRepo:read	-
GET /v2/{project_id}/release/files	codeartsartifact:releaseRepo:read	-
PUT /v5/trashes	codeartsartifact:repository:restore	-
DELETE /v5/trashes	codeartsartifact:repository:completelyDelete	-
POST /v5/maven/repositories	codeartsartifact:repository:create	-

资源类型（Resource）

CodeArts Artifact服务不支持在身份策略中的资源中指定资源进行权限控制。如需允许访问CodeArtsArtifact服务，请在身份策略的Resource元素中使用通配符号*，表示身份策略将应用到所有资源。

条件（Condition）

CodeArts Artifact服务不支持在身份策略中的条件键中配置服务级的条件键。CodeArtsArtifact可以使用适用于所有服务的全局条件键，请参考全局条件键《统一身份认证用户指南（新版）》的“身份策略语法”章节。

父主题： 附录

上一篇：获取账号ID

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！您可在我的云声建议查看反馈及问题处理状态。

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消

如您有其它疑问，您也可以通过华为云社区问答频道来与我们联系探讨

盘古Doer提问云社区提问