云运维中心 COC
Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。
SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。
本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。
如何使用这些元素编辑SCP自定义策略,请参考创建SCP。
操作(Action)
操作(Action)即为SCP中支持的授权项。
- “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
- “资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。
- 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
- 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。
关于COC定义的资源类型的详细信息请参见资源类型(Resource)。
- “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
- 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
- 如果此列条件键没有值(-),表示此操作不支持指定条件键。
关于COC定义的条件键的详细信息请参见条件(Condition)。
您可以在SCP语句的Action元素中指定以下COC的相关操作。
授权项 |
描述 |
访问级别 |
资源类型(*为必须) |
条件键 |
---|---|---|---|---|
coc:customDashboard:update |
修改自定义看板的权限 |
write |
- |
- |
coc:customDashboard:get |
查询自定义看板的权限。 |
read |
- |
- |
coc:document:create |
创建文档 |
write |
document |
- |
coc:document:listRunbookAtomics |
查看作业原子能力列表 |
list |
document |
- |
coc:document:getRunbookAtomicDetails |
查询作业原子能力详情 |
read |
document |
- |
coc:document:list |
查询文档列表 |
list |
document |
- |
coc:document:delete |
删除文档 |
write |
document |
- |
coc:document:update |
修改文档 |
write |
document |
- |
coc:document:get |
查看文档 |
read |
document |
- |
coc:document:analyzeRisk |
分析文档风险 |
read |
document |
- |
coc:systemConfig:get |
获取系统配置详情的权限。 |
write |
- |
- |
coc:systemConfig:create |
创建系统配置的权限。 |
read |
- |
- |
coc:job:list |
查询工单详情 |
write |
job |
- |
coc:job:action |
操作工单 |
write |
job |
- |
coc:instance:autoBatchInstances |
实例自动化分批 |
list |
instance |
- |
coc:instance:executeDocument |
在弹性云服务器上执行文档 |
write |
instance |
- |
coc:quota:get |
查询配额 |
write |
- |
- |
coc:job:get |
查询工单详情 |
write |
job |
- |
coc:schedule:list |
查询定时任务列表的权限。 |
read |
schedule |
- |
coc:schedule:enable |
启用定时任务的权限。 |
read |
schedule |
- |
coc:schedule:update |
更新定时任务的权限。 |
list |
schedule |
- |
coc:schedule:disable |
禁用定时任务列表的权限。 |
write |
schedule |
- |
coc:schedule:approve |
审批定时任务列表的权限。 |
write |
schedule |
- |
coc:schedule:create |
创建定时任务列表的权限。 |
write |
schedule |
- |
coc:schedule:delete |
删除定时任务的权限。 |
write |
schedule |
- |
coc:schedule:count |
查询定时任务数量的权限。 |
write |
schedule |
- |
coc:schedule:get |
查询定时任务的权限。 |
write |
schedule |
- |
coc:schedule:getHistories |
查询定时任务执行历史的权限。 |
read |
schedule |
- |
coc:parameter:list |
查询参数列表的权限。 |
read |
parameter |
- |
coc:parameter:delete |
删除参数的权限。 |
read |
parameter |
- |
coc:parameter:update |
更新参数的权限。 |
list |
parameter |
- |
coc:parameter:create |
创建参数的权限。 |
write |
parameter |
- |
coc:parameter:get |
查询参数详情的权限 |
write |
parameter |
- |
coc:complianceReport:list |
查询合规性报告列表权限。 |
write |
- |
- |
coc:patchBaseline:list |
查询补丁基线列表的权限。 |
read |
- |
- |
coc:patchBaseline:get |
查询补丁基线详情的权限。 |
list |
- |
- |
coc:patchBaseline:update |
更新补丁基线的权限。 |
list |
- |
- |
coc:patchBaseline:registerDefault |
设置默认补丁基线的权限。 |
write |
- |
- |
coc:patchBaseline:delete |
删除补丁基线的权限。 |
write |
- |
- |
coc:patchBaseline:create |
创建补丁基线的权限。 |
write |
- |
- |
coc:patchBaseline:getDefault |
查询默认补丁基线的权限。 |
write |
- |
- |
coc:patchBaseline:opsSystemGet |
查看补丁操作系统基线的权限。 |
write |
- |
- |
coc:complianceReport:get |
查询合规性报告详情的权限。 |
read |
- |
- |
coc:instance:scanOSCompliance |
服务器操作系统补丁扫描的权限。 |
read |
instance |
- |
coc:instance:installPatches |
为弹性云服务器安装补丁的权限。 |
read |
instance |
- |
coc:patchBaseline:updateCustomBaseline |
更新自定义基线的权限。 |
read |
- |
- |
coc:instance:startRDSInstance |
启用RDS实例的权限。 |
write |
instance |
- |
coc:instance:stopRDSInstance |
停止RDS实例的权限。 |
write |
instance |
- |
coc:instance:restartRDSInstance |
重启RDS实例的权限。 |
write |
instance |
- |
coc:instance:start |
启动云服务器的权限。 |
write |
instance |
- |
coc:instance:reboot |
重启云服务器的权限。 |
write |
instance |
- |
coc:instance:stop |
关闭云服务器的权限。 |
write |
instance |
- |
coc:serverResourcesDetail:get |
获取ESC资源信息的权限。 |
write |
- |
- |
coc:instance:reinstallOS |
重装弹性云服务器操作系统的权限。 |
write |
instance |
- |
coc:account:get |
查询主机上已纳管的账号列表的权限 |
write |
- |
- |
coc:accountPasswordChangePolicy:get |
查询已开启的改密策略的权限 |
write |
- |
- |
coc:accountEncryptionKey:list |
查询已添加的DEW密钥的权限 |
write |
- |
- |
coc:accountBaseline:list |
查询账号基线列表的权限 |
list |
accountBaseline |
- |
coc:accountAutoManagement:getRelations |
查询已开启自动纳管的组件信息的权限 |
list |
- |
- |
coc:accountEncryptionKey:listDEWKeys |
查询已拥有的DEW密钥的权限 |
list |
- |
- |
coc:accountBaseline:get |
查询基线内的账号列表的权限 |
list |
accountBaseline |
- |
coc:accountBaseline:create |
创建账号基线的权限 |
list |
accountBaseline |
- |
coc:accountBaseline:deleteAccount |
删除基线中的账号的权限 |
list |
accountBaseline |
- |
coc:account:add |
导入主机上的账号的权限 |
list |
- |
- |
coc:instance:resetPassword |
重置主机的账号密码的权限 |
write |
instance |
- |
coc:accountBaseline:delete |
删除账号基线的权限 |
write |
accountBaseline |
- |
coc:accountAutoManagement:updateStatus |
更新自动纳管的状态的权限 |
write |
- |
- |
coc:accountAutoManagement:addRelations |
按组件粒度开启自动纳管的权限 |
write |
- |
- |
coc:accountBaseline:update |
修改账号基线的权限 |
write |
accountBaseline |
- |
coc:accountPasswordChangePolicy:disable |
禁用改密策略的权限 |
write |
- |
- |
coc:accountAutoManagement:deleteRelations |
按组件粒度关闭自动纳管的权限 |
write |
- |
- |
coc:accountPasswordChangePolicy:enable |
启用改密策略的权限 |
write |
- |
- |
coc:accountEncryptionKey:add |
添加加密密钥的权限 |
write |
- |
- |
coc:account:sync |
同步主机上的账号的权限 |
write |
- |
- |
coc:account:getManagedStatus |
查询纳管步骤状态的权限 |
write |
- |
- |
coc:account:getPassword |
查询主机的账号密码的权限 |
write |
- |
- |
coc:accountAutoManagement:getStatus |
查询自动纳管的开启状态的权限 |
write |
- |
- |
coc:hostiAccount:describe |
账号自己的托管服务账号的信息。 |
read |
- |
- |
coc:vendorAccount:update |
更新云厂商账户的权限。 |
read |
- |
- |
coc:application:GetDiagnosisTaskDetails |
查询应用资源诊断任务的权限。 |
read |
application |
- |
coc:application:CreateDiagnosisTask |
创建应用诊断任务的权限。 |
write |
application |
- |
coc:vendorAccount:list |
查询云厂商账户列表的权限。 |
list |
- |
- |
coc:vendorAccount:create |
创建云厂商账户的权限。 |
write |
- |
- |
coc:vendorAccount:delete |
删除云厂商账户的权限。 |
list |
- |
- |
coc:customApplication:get |
查询自定义应用详情的权限。 |
write |
application |
- |
coc:site:list |
查询局点列表的权限。 |
write |
- |
- |
coc:instance:listResources |
查询资源列表的权限。 |
list |
instance |
- |
coc:application:listResources |
查询应用资源列表的权限。 |
list |
application |
- |
coc:application:list |
查询应用列表的权限。 |
list |
application |
- |
coc:customApplication:list |
查询自定义应用列表的权限。 |
list |
application |
- |
coc:application:listGroups |
查询指定应用分组列表的权限。 |
list |
application |
- |
coc:region:list |
查询region列表的权限。 |
list |
- |
- |
coc:application:deleteGroup |
删除应用分组的权限。 |
list |
application |
- |
coc:application:updateResources |
修改应用资源的权限。 |
list |
application |
- |
coc:application:create |
创建应用的权限。 |
write |
application |
- |
coc:application:addResources |
为应用添加资源的权限。 |
write |
application |
- |
coc:application:createGroup |
创建应用分组的权限。 |
write |
application |
- |
coc:instance:syncResources |
同步资源列表的权限。 |
write |
instance |
- |
coc:application:removeResources |
移除应用资源的权限。 |
write |
application |
- |
coc:application:delete |
删除应用的权限。 |
write |
application |
- |
coc:application:update |
修改应用的权限。 |
write |
application |
- |
coc:application:updateGroup |
修改应用分组的权限。 |
write |
application |
- |
coc:contingencyPlan:list |
查询应急预案列表的权限。 |
write |
contingencyPlan |
- |
coc:contingencyPlan:delete |
删除应急预案的权限。 |
write |
contingencyPlan |
- |
coc:contingencyPlan:create |
创建应急预案的权限。 |
write |
contingencyPlan |
- |
coc:contingencyPlan:update |
修改应急预案的权限。 |
list |
contingencyPlan |
- |
coc:wechatkey:create |
创建企业微信应用密钥的权限。 |
write |
- |
- |
coc:wechatkey:delete |
删除企业微信应用密钥的权限。 |
write |
- |
- |
coc:appkey:update |
更新移动应用密钥的权限。 |
write |
- |
- |
coc:wechatkey:update |
修改企业微信管理企业密钥的权限。 |
write |
- |
- |
coc:appkey:create |
创建移动应用密钥的权限。 |
write |
- |
- |
coc:appkey:delete |
删除移动应用密钥的权限。 |
write |
- |
- |
coc:appkey:get |
查看移动应用密钥的权限。 |
write |
- |
- |
coc:wechatkey:get |
查看企业微信应用密钥的权限。 |
write |
- |
- |
coc:systemConfig:update |
修改系统配置的权限。 |
write |
- |
- |
coc:hostAccount:delete |
托管sre账号刪除托管账号。 |
read |
- |
- |
coc:hostAccount:update |
托管sre账号编辑托管账号。 |
read |
- |
- |
coc:hostAccount:disable |
账号取消托管服务。 |
list |
- |
- |
coc:hostAccount:create |
添加托管账号。 |
read |
- |
- |
coc:hostAccount:list |
托管sre账号查询托管账号。 |
write |
- |
- |
coc:hostAccount:enable |
账号开通托管服务。 |
write |
- |
- |
coc:systemConfig:list |
获取系统配置列表的权限。 |
write |
- |
- |
coc:agency:create |
创建租户委托的权限。 |
write |
- |
- |
coc:agency:get |
查询租户下的委托信息。 |
read |
- |
- |
coc:notificationRule:get |
查询通知规则详情的权限。 |
write |
- |
- |
coc:notification:listTypes |
查询通知类型的权限。 |
write |
- |
- |
coc:notification:listTemplates |
查询通知模板列表的权限。 |
read |
- |
- |
coc:notification:listModes |
查询通知方式的权限。 |
list |
- |
- |
coc:notificationRule:list |
查询通知规则列表的权限。 |
list |
- |
- |
coc:notificationRule:update |
更新通知规则的权限。 |
list |
- |
- |
coc:notificationRule:delete |
删除通知规则的权限。 |
list |
- |
- |
coc:notificationRule:create |
创建通知规则的权限。 |
list |
- |
- |
coc:notificationRule:disable |
停用通知规则的权限。 |
write |
- |
- |
coc:ticket:get |
查询事件单详情的权限。 |
write |
- |
- |
coc:contingencyPlan:getHistories |
查询应急预案历史的权限。 |
write |
contingencyPlan |
- |
coc:ticket:listEnumTypes |
查询事件单枚举类型列表的权限。 |
write |
- |
- |
coc:ticket:listEnumValues |
查询事件单枚举值列表的权限。 |
write |
- |
- |
coc:ticket:getOperationHistories |
查询事件单操作历史的权限。 |
list |
- |
- |
coc:ticket:listActions |
查询可以执行操作列表的权限。 |
list |
- |
- |
coc:ticket:getEnumValues |
查询事件单枚举值详情的权限。 |
list |
- |
- |
coc:ticket:list |
查询事件单列表的权限。 |
list |
- |
- |
coc:ticket:update |
修改事件单的权限。 |
list |
- |
- |
coc:contingencyPlan:downloadFile |
从应急预案下载附件的权限。 |
list |
contingencyPlan |
- |
coc:ticket:delete |
删除事件单的权限。 |
list |
- |
- |
coc:ticket:downloadFile |
为事件单下载附件的权限。 |
list |
- |
- |
coc:ticket:action |
处理事件单的权限。 |
write |
- |
- |
coc:ticket:uploadFile |
为事件单上传附件的权限。 |
write |
- |
- |
coc:ticket:create |
创建事件单的权限。 |
write |
- |
- |
coc:contingencyPlan:uploadFile |
为应急预案上传附件的权限。 |
write |
contingencyPlan |
- |
coc:ticket:getEnumTypes |
查询事件单枚举类型详情的权限。 |
write |
- |
- |
coc:personnel:list |
查询人员列表的权限。 |
write |
- |
- |
coc:personnel:update |
更新人员信息的权限。 |
write |
- |
- |
coc:personnel:add |
添加人员的权限。 |
write |
- |
- |
coc:personnel:remove |
移除人员的权限。 |
read |
- |
- |
coc:notificationRule:confirm |
确认通知规则的权限。 |
list |
- |
- |
coc:instance:changeOS |
切换弹性云服务器操作系统的权限。 |
write |
instance |
- |
coc:oncall:listPersonnels |
查询oncall排班人员列表的权限。 |
write |
- |
- |
coc:oncall:listScenes |
查看oncall排班场景的权限。 |
write |
- |
- |
coc:oncall:listRoles |
查询oncall排班角色的权限。 |
write |
- |
- |
coc:oncall:updatePersonnels |
更新oncall排班人员的权限。 |
list |
- |
- |
coc:oncall:updateScene |
更新oncall排班场景的权限。 |
list |
- |
- |
coc:oncall:removePersonnels |
移除oncall排班人员的权限。 |
list |
- |
- |
coc:oncall:updateRole |
更新oncall排班角色的权限。 |
write |
- |
- |
coc:oncall:createRole |
创建oncall排班角色的权限。 |
write |
- |
- |
coc:oncall:deleteScene |
删除oncall排班场景的权限。 |
write |
- |
- |
coc:oncall:deleteRole |
删除oncall排班角色的权限。 |
write |
- |
- |
coc:oncall:addPersonnels |
添加oncall排班人员的权限。 |
write |
- |
- |
coc:oncall:createScene |
创建oncall排班场景的权限。 |
write |
- |
- |
coc:transferRule:get |
查询流转规则详情的权限。 |
write |
- |
- |
coc:transferRule:list |
查询流转规则列表的权限。 |
write |
- |
- |
coc:transferRule:delete |
删除流转规则的权限。 |
write |
- |
- |
coc:transferRule:disable |
停用流转规则的权限。 |
list |
- |
- |
coc:transferRule:enable |
启用流转规则的权限。 |
list |
- |
- |
coc:transferRule:create |
创建流转规则的权限。 |
write |
- |
- |
coc:transferRule:update |
更新流转规则的权限。 |
write |
- |
- |
coc:notificationRule:enable |
启用通知规则的权限。 |
write |
- |
- |
coc:transferRule:getHistory |
查询流转最近事件消息的权限。 |
write |
- |
- |
coc:quotas:list |
查询已购买配额列表的权限。 |
write |
- |
- |
coc:orders:change |
更新coc订单的权限。 |
read |
- |
- |
coc:orders:create |
创建coc订单的权限。 |
list |
- |
- |
coc:integration:list |
查询集成配置列表的权限。 |
write |
- |
- |
coc:integration:get |
查询集成配置详情的权限。 |
write |
- |
- |
coc:integration:getHistory |
查询集成配置历史事件消息的权限。 |
list |
- |
- |
coc:integration:update |
修改集成配置的权限。 |
list |
- |
- |
coc:integration:enable |
启用集成配置的权限。 |
list |
- |
- |
coc:integration:disable |
停用集成配置的权限。 |
write |
- |
- |
coc:integration:access |
接入集成配置的权限。 |
write |
- |
- |
coc:integration:remove |
移除集成配置的权限。 |
write |
- |
- |
coc:attackTargetRecord:list |
查看攻击目标的执行记录列表的权限。 |
write |
attackTargetRecord |
- |
coc:drillPlan:list |
查询演练规划列表的权限。 |
write |
drillPlan |
- |
coc:attackRecord:list |
查看攻击记录列表的权限。 |
list |
attackRecord |
- |
coc:faultMode:list |
查询故障模式列表的权限。 |
list |
faultMode |
- |
coc:monitorMetricRecord:list |
查询监控指标数据列表的权限。 |
list |
- |
- |
coc:attackTask:list |
查看攻击任务列表的权限。 |
list |
attackTask |
- |
coc:attackTarget:listCcePods |
查询cce类型的攻击目标的pods列表的权限。 |
list |
- |
- |
coc:improvementTask:list |
查询改进事项列表的权限。 |
list |
- |
- |
coc:drillTask:list |
查看演练任务列表的权限。 |
list |
drillTask |
- |
coc:attackTarget:listCceWorkloads |
查询cce类型的攻击目标的工作负载列表的权限。 |
list |
- |
- |
coc:attackTarget:listCceNamespaces |
查询cce类型的攻击目标的命名空间列表的权限。 |
list |
- |
- |
coc:drillPlan:listDelay |
查询演练规划延期列表的权限。 |
list |
drillPlan |
- |
coc:monitorMetric:list |
查询监控指标列表的权限。 |
list |
- |
- |
coc:faultMode:delete |
删除故障模式的权限。 |
list |
faultMode |
- |
coc:faultMode:update |
更新故障模式的权限。 |
list |
faultMode |
- |
coc:drillTask:create |
创建演练任务的权限。 |
write |
drillTask |
- |
coc:attackTargetRecord:operate |
对攻击目标执行记录进行重试的权限。 |
write |
attackTargetRecord |
- |
coc:drillReport:create |
创建演练报告的权限。 |
write |
- |
- |
coc:drillTask:delete |
删除演练任务的权限。 |
write |
drillTask |
- |
coc:faultMode:create |
创建故障模式的权限。 |
write |
faultMode |
- |
coc:drillRecord:create |
启动演练的权限。 |
write |
drillRecord |
- |
coc:drillPlan:create |
创建演练规划的权限。 |
write |
drillPlan |
- |
coc:drillReport:update |
更新演练报告的权限。 |
write |
- |
- |
coc:application:CreateResourceTopo |
创建资源topo的权限。 |
write |
application |
- |
coc:drillTask:update |
修改演练任务的权限。 |
write |
drillTask |
- |
coc:improvementTask:create |
创建改进事项的权限。 |
write |
- |
- |
coc:drillPlan:update |
更新演练规划的权限。 |
write |
drillPlan |
- |
coc:attackRecord:changeMetricType |
修改某个攻击记录下指标类型的权限。 |
write |
attackRecord |
- |
coc:improvementTask:update |
处理改进事项的权限。 |
write |
- |
- |
coc:attackTask:create |
创建攻击任务的权限。 |
write |
attackTask |
- |
coc:drillPlan:countStatus |
查询指定演练规划状态数量的权限。 |
write |
drillPlan |
- |
coc:faultMode:get |
查询指定故障模式详情的权限 |
read |
faultMode |
- |
coc:contingencyPlan:get |
查询应急预案详情的权限。 |
read |
contingencyPlan |
- |
coc:drillRecord:get |
查询演练记录详情的权限。 |
read |
drillRecord |
- |
coc:drillTask:get |
查询演练任务详情的权限。 |
read |
drillTask |
- |
coc:drillPlan:countDelay |
查询指定演练规划延期数量的权限。 |
read |
drillPlan |
- |
coc:improvementTask:get |
查询改进事项详情的权限。 |
read |
- |
- |
coc:drillReport:get |
查询演练报告详情的权限。 |
read |
- |
- |
coc:drillPlan:get |
查询指定演练规划详情的权限 |
read |
drillPlan |
- |
coc:attackTask:get |
查看攻击任务详情的权限。 |
read |
attackTask |
- |
coc:alarm:listHandleHistories |
查询告警处理历史列表的权限。 |
read |
- |
- |
coc:alarm:list |
查询告警列表的权限。 |
list |
- |
- |
coc:alarm:createAlarmLinkedIncident |
创建告警关联事件的权限。 |
list |
- |
- |
coc:alarm:clear |
清除告警的权限。 |
write |
- |
- |
coc:instance:getAlarms |
查看某个资源的告警列表的权限。 |
write |
instance |
- |
coc:alarm:get |
查询告警信息的权限。 |
read |
- |
- |
coc:alarm:count |
查询告警数量的权限。 |
read |
- |
- |
coc:instance:listAlarms |
查询全部资源的告警列表的权限。 |
read |
instance |
- |
coc:task:list |
查询运维事务列表的权限。 |
list |
- |
- |
coc:task:create |
创建运维事务的权限 |
list |
- |
- |
coc:task:complete |
结束运维事务的权限。 |
write |
- |
- |
coc:task:cancel |
取消运维事务的权限。 |
write |
- |
- |
coc:task:accept |
受理运维事务的权限 |
write |
- |
- |
coc:task:get |
查询运维事务详情的权限 |
write |
- |
- |
coc:task:count |
查询运维事务列表的权限。 |
read |
- |
- |
coc:warroom:get |
查询warroom详情的权限。 |
read |
- |
- |
coc:warroom:listConfigurations |
查询warroom公共枚举配置的权限。 |
list |
- |
- |
coc:warroom:list |
查询warroom列表的权限。 |
write |
- |
- |
coc:warroom:listNotificationTemplates |
查询warroom通告模板列表的权限。 |
list |
- |
- |
coc:warroom:listMeetings |
查询warroom会议列表的权限。 |
list |
- |
- |
coc:warroom:listRoles |
查询warroom角色列表的权限。 |
list |
- |
- |
coc:warroom:listAffectedApplications |
查询warroom受影响应用列表的权限。 |
list |
- |
- |
coc:warroomMeetingRule:list |
查询warroom起会规则列表的权限。 |
list |
- |
- |
coc:warroom:getOperationHistory |
查询warroom操作历史的权限。 |
list |
- |
- |
coc:warroom:addRolePersonnels |
在warroom中添加角色用户的权限。 |
list |
- |
- |
coc:warroom:modifyBasicInformation |
修改warroom基本信息的权限。 |
list |
- |
- |
coc:warroomMeetingRule:delete |
删除warroom起会规则的权限。 |
list |
- |
- |
coc:warroom:addAffectedApplications |
在warroom中添加受影响应用的权限。 |
write |
- |
- |
coc:warroom:addPersonnels |
在warroom中添加人员的权限。 |
write |
- |
- |
coc:warroomMeetingRule:update |
更新warroom起会规则的权限。 |
write |
- |
- |
coc:warroom:removeAffectedApplications |
在warroom中移除受影响应用的权限。 |
write |
- |
- |
coc:warroom:sendNotification |
在warroom中更新/发送通告的权限。 |
write |
- |
- |
coc:warroom:removePersonnels |
在warroom中移除人员的权限。 |
write |
- |
- |
coc:warroom:create |
创建warroom的权限。 |
write |
- |
- |
coc:warroom:sendNotificationBriefing |
在warroom中发送通知简报的权限。 |
write |
- |
- |
coc:warroom:updateAffectedApplications |
在warroom中更新受影响应用的权限。 |
write |
- |
- |
coc:warroomMeetingRule:create |
创建warroom起会规则的权限。 |
write |
- |
- |
coc:slo:list |
查询slo列表的权限。 |
write |
- |
- |
coc:slo:listSli |
查询sli列表的权限。 |
write |
- |
- |
coc:slo:update |
修改slo的权限。 |
write |
- |
- |
coc:slo:delete |
删除slo的权限。 |
list |
- |
- |
coc:slo:updateSli |
更新sli列表的权限。 |
list |
- |
- |
coc:slo:listInterruptRecords |
查询中断记录列表的权限。 |
write |
- |
- |
coc:slo:listInterruptRecordsChangeHistory |
创建中断记录修改历史的权限。 |
write |
- |
- |
coc:slo:updateInterruptRecords |
更新中断记录的权限。 |
write |
- |
- |
coc:slo:createInterruptRecords |
创建中断记录的权限。 |
list |
- |
- |
coc:slaTemplate:list |
查询sla模板列表的权限。 |
list |
slaTemplate |
- |
coc:slaRecord:list |
查询sla工单列表的权限。 |
write |
- |
- |
coc:slo:get |
查询slo详情的权限。 |
write |
- |
- |
coc:slaTemplate:update |
修改sla模板的权限。 |
list |
slaTemplate |
- |
coc:slaTemplate:enable |
启用sla模板的权限。 |
list |
slaTemplate |
- |
coc:slaTemplate:delete |
删除sla模板的权限。 |
list |
slaTemplate |
- |
coc:slaTemplate:disable |
禁用sla模板的权限。 |
write |
slaTemplate |
- |
coc:slaTemplate:create |
创建sla模板的权限。 |
write |
slaTemplate |
- |
coc:slo:create |
创建slo的权限。 |
write |
- |
- |
coc:slaTemplate:get |
查询sla模板详情的权限。 |
write |
slaTemplate |
- |
coc:slaRecord:get |
查询sla工单详情的权限。 |
write |
- |
- |
coc:prrTemplate:list |
查看prr模板列表的权限。 |
write |
- |
- |
coc:prrReview:list |
查看prr评审列表的权限。 |
read |
- |
- |
coc:prrCheckItem:list |
查看prr检查项列表的权限。 |
read |
- |
- |
coc:prrTemplate:create |
创建prr模板的权限。 |
list |
- |
- |
coc:prrReview:create |
发起prr评审的权限。 |
list |
- |
- |
coc:prrReview:addImprovementTask |
添加PRR改进事项的权限。 |
list |
- |
- |
coc:prrReview:update |
继续发起prr评审的权限。 |
write |
- |
- |
coc:prrTemplate:delete |
删除prr模板的权限。 |
write |
- |
- |
coc:prrTemplate:update |
修改prr模板的权限。 |
write |
- |
- |
coc:prrReview:auditResult |
录入prr审核结论的权限。 |
write |
- |
- |
coc:prrReview:delete |
撤销prr评审的权限。 |
write |
- |
- |
coc:prrReview:recordSummary |
录入prr评审纪要的权限。 |
write |
- |
- |
coc:prrTemplate:get |
查询prr模板详情的权限。 |
write |
- |
- |
coc:prrReview:get |
查询prr评审详情的权限。 |
write |
- |
- |
coc:tag:list |
查询标签列表的权限。 |
write |
- |
- |
coc:tag:create |
创建标签的权限。 |
read |
- |
- |
coc:*:listSSHKeypairs |
查询SSH密钥列表的权限。 |
read |
- |
- |
COC的API通常对应着一个或多个授权项。表2 API与授权项的关系展示了API与授权项的关系,以及该API需要依赖的授权项。
API |
对应的授权项 |
依赖的授权项 |
---|---|---|
GET /v1/patch/instance/compliant |
coc:instance:scanOSCompliance |
- |
GET /v1/patch/instance/compliant/{instance_compliant_id} |
coc:instance:scanOSCompliance |
- |
POST /v1/job/scripts |
coc:document:create |
- |
DELETE /v1/job/scripts/{script_uuid |
coc:document:delete |
- |
POST /v1/job/scripts/{script_uuid} |
coc:instance:executeDocument |
- |
GET /v1/job/scripts/{script_uuid} |
coc:document:get |
- |
GET /v1/job/scripts |
coc:document:list |
- |
PUT /v1/job/scripts/{script_uuid} |
coc:document:update |
- |
GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index} |
coc:instance:autoBatchInstances |
- |
GET /v1/job/script/orders/{execute_uuid} |
coc:job:get |
- |
GET /v1/job/script/orders/{execute_uuid}/statistics |
coc:job:get |
- |
GET /v1/job/script/orders/{execute_uuid}/batches |
coc:instance:autoBatchInstances |
- |
GET /v1/job/script/orders |
coc:job:list |
- |
PUT /v1/job/script/orders/{execute_uuid}/operation |
coc:job:action |
- |
GET /v1/resources |
coc:instance:countResources |
- |
POST https://coc-intl.myhuaweicloud.com/v1/resources/sync |
coc:instance:syncResources |
- |
GET https://coc-intl.myhuaweicloud.com/v1/applications |
coc:application:countResourceRelations |
- |
资源类型(Resource)
资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。
COC定义了以下可以在SCP的Resource元素中使用的资源类型。
资源类型 |
URN |
---|---|
instance |
ecs:<region>:<account-id>:instance:<server-id> |
instance |
bms:<region>:<account-id>:instance:<server-id> |
document |
coc::<account-id>:document:<document-name> |
job |
coc::<account-id>:job:<job-id> |
application |
coc::<account-id>:application:<application-id> |
schedule |
coc::<account-id>:schedule:<schedule-id> |
faultMode |
coc::<account-id>:faultMode:<fault-mode-id> |
contingencyPlan |
coc::<account-id>:contingencyPlan:<contingency-plan-id> |
attackTask |
coc::<account-id>:attackTask:<attack-task-name> |
attackRecord |
coc::<account-id>:attackRecord:<attack-record-id> |
attackTargetRecord |
coc::<account-id>:attackTargetRecord:<attack-target-record-id> |
drillTask |
coc::<account-id>:drillTask:<drill-task-id> |
drillRecord |
coc::<account-id>:drillRecord:<drill-record-id> |
drillPlan |
coc::<account-id>:drillPlan:<drill-plan-id> |
slaTemplate |
coc::<account-id>:slaTemplate:<sla_template-id> |
parameter |
coc:<region>:<account-id>:parameter:<parameter-name> |
accountBaseline |
coc::<account-id>:accountBaseline:<account_baseline_id> |
resourceView |
coc::<account-id>:resourceView:<resourceViewId> |
instance |
rds:<region>:<account-id>:instance:<instance-id> |