应用运维管理 AOM

Organizations服务中的服务控制策略（Service Control Policy，以下简称SCP）可以使用以下授权项元素设置访问控制策略。

SCP不直接进行授权，只划定权限边界。将SCP绑定到组织单元或者成员账号时，并没有直接对组织单元或成员账号授予操作权限，而是规定了成员账号或组织单元包含的成员账号的授权范围。

本章节介绍组织服务中SCP使用的元素，这些元素包含了操作（Action）、资源（Resource）和条件（Condition）。

如何使用这些元素编辑SCP自定义策略，请参考创建SCP。

操作（Action）

操作（Action）即为SCP中支持的授权项。

“访问级别”列描述如何对操作进行分类（list、read和write等）。此分类可帮助您了解在SCP中相应操作对应的访问级别。
“资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值（-），则必须在SCP语句的Resource元素中指定所有资源类型（“*”）。
- 如果该列包含资源类型，则必须在具有该操作的语句中指定该资源的URN。
- 资源类型列中必需资源在表中用星号（*）标识，表示使用此操作必须指定该资源类型。
关于AOM定义的资源类型的详细信息请参见资源类型（Resource）。
“条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
- 如果该授权项资源类型列存在值，则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值（-），则表示条件键对整个授权项生效。
- 如果此列条件键没有值（-），表示此操作不支持指定条件键。
关于AOM定义的条件键的详细信息请参见条件（Condition）。

您可以在SCP语句的Action元素中指定以下AOM的相关操作。

表1 AOM支持的授权项
授权项	描述	访问级别	资源类型（*为必须）	条件键
aom:metric:delete	授予权限以删除监控配置信息。	write	-	-
aom:icmgr:get	授予权限以获取采集组件版本信息。	read	-	-
aom:agency:get	授予权限以查询委托权限。	read	-	-
aom:icmgr:list	授予权限以获取采集组件版本信息。	list	-	-
aom:metric:list	授予权限以查询指标项。	list	-	-
aom:metric:put	授予权限以上报指标。	write	-	-
aom:discoveryRule:set	授予权限以创建或者更新服务发现规则列表。	write	-	-
aom:discoveryRule:delete	授予权限以删除服务发现规则列表。	write	-	-
aom:discoveryRule:list	授予权限以查询服务发现规则列表。	list	-	-
aom:alarmRule:create	授予权限以创建告警规则。	write	alarmRule *	g:ResourceTag/<tag-key>
aom:alarmRule:create	授予权限以创建告警规则。	write	-	g:TagKeys g:RequestTag/<tag-key>
aom:alarmRule:list	授予权限以查询告警规则列表。	list	-	-
aom:alarmRule:update	授予权限以更新告警规则。	write	-	-
aom:alarmRule:delete	授予权限以删除告警规则。	write	alarmRule *	g:ResourceTag/<tag-key>
aom:alarm:put	授予权限以上报告警和事件。	write	-	-
aom:alarm:list	授予权限以查询告警和事件。	list	-	-
aom:alarmRule:get	授予权限以查询告警规则。	read	-	-
aom:view:create	授予权限以创建仪表盘。	write	-	-
aom:event2AlarmRule:list	授予权限以查询事件类告警规则列表。	list	-	-
aom:event2AlarmRule:create	授予权限以创建事件类告警规则。	write	-	-
aom:event2AlarmRule:update	授予权限以更新事件类告警规则。	write	-	-
aom:event2AlarmRule:delete	授予权限以删除事件类告警规则。	write	-	-
aom:muteRule:create	授予权限以创建静默规则。	write	-	-
aom:muteRule:list	授予权限以查询静默规则列表。	list	-	-
aom:muteRule:update	授予权限以更新静默规则。	write	-	-
aom:muteRule:delete	授予权限以删除静默规则。	write	-	-
aom:actionRule:get	授予权限以查询行动规则。	read	-	-
aom:actionRule:list	授予权限以查询行动规则列表。	list	-	-
aom:actionRule:create	授予权限以创建行动规则。	write	-	-
aom:actionRule:update	授予权限以修改行动规则。	write	-	-
aom:actionRule:delete	授予权限以删除行动规则。	write	-	-

AOM的API通常对应着一个或多个授权项。表2展示了API与授权项的关系，以及该API需要依赖的授权项。

表2 API与授权项的关系
API	对应的授权项	依赖的授权项
DELETE /v1/{project_id}/aom/prometheus	aom:metric:delete	-
GET /v1/{project_id}/aom/prometheus	aom:metric:list	-
POST /v1/{project_id}/aom/prometheus	aom:metric:put	-
POST /v1/{project_id}/{prometheus_instance}/aom/api/v1/rules	aom:metric:put	-
GET /v1/{project_id}/access-code	aom:icmgr:get	-
GET /v1/{project_id}/aom/auth/grant	aom:agency:get	-
GET /v1/{project_id}/{cluster_id}/{namespace}/agents	aom:icmgr:list	-
POST /v2/{project_id}/series	aom:metric:list	-
POST /v2/{project_id}/samples	aom:metric:list	-
GET /v1/{project_id}/aom/api/v1/query_range	aom:metric:list	-
POST /v1/{project_id}/aom/api/v1/query_range	aom:metric:list	-
GET /v1/{project_id}/aom/api/v1/query	aom:metric:list	-
POST /v1/{project_id}/aom/api/v1/query	aom:metric:list	-
GET /v1/{project_id}/aom/api/v1/label/{label_name}/values	aom:metric:list	-
GET /v1/{project_id}/aom/api/v1/labels	aom:metric:list	-
POST /v1/{project_id}/aom/api/v1/labels	aom:metric:list	-
GET /v1/{project_id}/aom/api/v1/metadata	aom:metric:list	-
POST /v1/{project_id}/ams/metrics	aom:metric:list	-
POST /v1/{project_id}/ams/metricdata	aom:metric:list	-
POST /v1/{project_id}/ams/report/metricdata	aom:metric:put	-
PUT /v1/{project_id}/inv/servicediscoveryrules	aom:discoveryRule:set	-
DELETE /v1/{project_id}/inv/servicediscoveryrules	aom:discoveryRule:delete	-
GET /v1/{project_id}/inv/servicediscoveryrules	aom:discoveryRule:list	-
POST /v2/{project_id}/alarm-rules	aom:alarmRule:create	-
GET /v2/{project_id}/alarm-rules	aom:alarmRule:list	-
PUT /v2/{project_id}/alarm-rules	aom:alarmRule:update	-
DELETE /v2/{project_id}/alarm-rules/{alarm_rule_id}	aom:alarmRule:delete	-
GET /v2/{project_id}/alarm-rules/{alarm_rule_id}	aom:alarmRule:get	-
POST /v2/{project_id}/alarm-rules/delete	aom:alarmRule:delete	-
POST /v2/{project_id}/events	aom:alarm:list	-
POST /v2/{project_id}/events/statistic	aom:alarm:list	-
PUT /v2/{project_id}/push/events	aom:alarm:put	-
GET /v2/{project_id}/alarm-notified-histories	aom:alarm:list	-
GET /v2/{project_id}/event2alarm-rule	aom:event2AlarmRule:list	-
POST /v2/{project_id}/event2alarm-rule	aom:event2AlarmRule:create	-
PUT /v2/{project_id}/event2alarm-rule	aom:event2AlarmRule:update	-
DELETE /v2/{project_id}/event2alarm-rule	aom:event2AlarmRule:delete	-
POST /v2/{project_id}/alert/action-rules	aom:actionRule:create	-
GET /v2/{project_id}/alert/action-rules	aom:actionRule:list	-
PUT /v2/{project_id}/alert/action-rules	aom:actionRule:update	-
DELETE /v2/{project_id}/alert/action-rules	aom:actionRule:delete	-
GET /v2/{project_id}/alert/action-rules/{rule_name}	aom:actionRule:get	-
POST /v2/{project_id}/alert/mute-rules	aom:muteRule:create	-
DELETE /v2/{project_id}/alert/mute-rules	aom:muteRule:delete	-
PUT /v2/{project_id}/alert/mute-rules	aom:muteRule:update	-
GET /v2/{project_id}/alert/mute-rules	aom:muteRule:list	-
POST /v4/{project_id}/alarm-rules	aom:alarmRule:create	-
GET /v4/{project_id}/alarm-rules	aom:alarmRule:list	-
DELETE /v4/{project_id}/alarm-rules	aom:alarmRule:delete 说明：该授权项的资源类型“alarmRule ”仅对DELETE /v4/{project_id}/alarm-rules接口适用。	-

资源类型（Resource）

资源类型（Resource）表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型，则必须在具有该操作的SCP语句中指定该资源的URN，SCP仅作用于此资源；如未指定，Resource默认为“*”，则SCP将应用到所有资源。您也可以在SCP中设置条件，从而指定资源类型。

AOM服务定义了以下可以在SCP的Resource元素中使用的资源类型。

表3 AOM服务支持的资源类型
资源类型	URN
alarmRule	aom:<region>:<account-id>:alarmRule:<alarm_rule_id>

条件（Condition）

AOM服务不支持在SCP中的条件键中配置服务级的条件键。

AOM服务可以使用适用于所有服务的全局条件键，请参考全局条件键。

父主题： 管理与监管

上一篇：资源治理中心 RGC

下一篇：云监控服务 CES

意见反馈

文档内容是否对您有帮助？

有帮助没帮助

提供反馈

提交成功！非常感谢您的反馈，我们会继续努力做到更好！

系统繁忙，请稍后重试

在使用文档中是否遇到以下问题

内容与产品页面不一致

内容不易理解

缺失示例代码

步骤不可操作

搜不到想要的内容

缺少最佳实践

意见反馈（选填）

0/500

请至少选择一项反馈信息并填写问题反馈

字符长度不能超过500

直接提交取消