更新时间:2024-10-24 GMT+08:00

云运维中心 COC

Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)可以使用以下授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。

本章节介绍组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。

如何使用这些元素编辑SCP自定义策略,请参考创建SCP

操作(Action)

操作(Action)即为SCP中支持的授权项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在SCP中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在SCP语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于COC定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在SCP语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于COC定义的条件键的详细信息请参见条件(Condition)

您可以在SCP语句的Action元素中指定以下COC的相关操作。

表1 COC支持的授权项

授权项

描述

访问级别

资源类型(*为必须)

条件键

coc:customDashboard:update

修改自定义看板的权限

write

-

-

coc:customDashboard:get

查询自定义看板的权限。

read

-

-

coc:document:create

创建文档

write

document

-

coc:document:listRunbookAtomics

查看作业原子能力列表

list

document

-

coc:document:getRunbookAtomicDetails

查询作业原子能力详情

read

document

-

coc:document:list

查询文档列表

list

document

-

coc:document:delete

删除文档

write

document

-

coc:document:update

修改文档

write

document

-

coc:document:get

查看文档

read

document

-

coc:document:analyzeRisk

分析文档风险

read

document

-

coc:systemConfig:get

获取系统配置详情的权限。

write

-

-

coc:systemConfig:create

创建系统配置的权限。

read

-

-

coc:job:list

查询工单详情

write

job

-

coc:job:action

操作工单

write

job

-

coc:instance:autoBatchInstances

实例自动化分批

list

instance

-

coc:instance:executeDocument

在弹性云服务器上执行文档

write

instance

-

coc:quota:get

查询配额

write

-

-

coc:job:get

查询工单详情

write

job

-

coc:schedule:list

查询定时任务列表的权限。

read

schedule

-

coc:schedule:enable

启用定时任务的权限。

read

schedule

-

coc:schedule:update

更新定时任务的权限。

list

schedule

-

coc:schedule:disable

禁用定时任务列表的权限。

write

schedule

-

coc:schedule:approve

审批定时任务列表的权限。

write

schedule

-

coc:schedule:create

创建定时任务列表的权限。

write

schedule

-

coc:schedule:delete

删除定时任务的权限。

write

schedule

-

coc:schedule:count

查询定时任务数量的权限。

write

schedule

-

coc:schedule:get

查询定时任务的权限。

write

schedule

-

coc:schedule:getHistories

查询定时任务执行历史的权限。

read

schedule

-

coc:parameter:list

查询参数列表的权限。

read

parameter

-

coc:parameter:delete

删除参数的权限。

read

parameter

-

coc:parameter:update

更新参数的权限。

list

parameter

-

coc:parameter:create

创建参数的权限。

write

parameter

-

coc:parameter:get

查询参数详情的权限

write

parameter

-

coc:complianceReport:list

查询合规性报告列表权限。

write

-

-

coc:patchBaseline:list

查询补丁基线列表的权限。

read

-

-

coc:patchBaseline:get

查询补丁基线详情的权限。

list

-

-

coc:patchBaseline:update

更新补丁基线的权限。

list

-

-

coc:patchBaseline:registerDefault

设置默认补丁基线的权限。

write

-

-

coc:patchBaseline:delete

删除补丁基线的权限。

write

-

-

coc:patchBaseline:create

创建补丁基线的权限。

write

-

-

coc:patchBaseline:getDefault

查询默认补丁基线的权限。

write

-

-

coc:patchBaseline:opsSystemGet

查看补丁操作系统基线的权限。

write

-

-

coc:complianceReport:get

查询合规性报告详情的权限。

read

-

-

coc:instance:scanOSCompliance

服务器操作系统补丁扫描的权限。

read

instance

-

coc:instance:installPatches

为弹性云服务器安装补丁的权限。

read

instance

-

coc:patchBaseline:updateCustomBaseline

更新自定义基线的权限。

read

-

-

coc:instance:startRDSInstance

启用RDS实例的权限。

write

instance

-

coc:instance:stopRDSInstance

停止RDS实例的权限。

write

instance

-

coc:instance:restartRDSInstance

重启RDS实例的权限。

write

instance

-

coc:instance:start

启动云服务器的权限。

write

instance

-

coc:instance:reboot

重启云服务器的权限。

write

instance

-

coc:instance:stop

关闭云服务器的权限。

write

instance

-

coc:serverResourcesDetail:get

获取ESC资源信息的权限。

write

-

-

coc:instance:reinstallOS

重装弹性云服务器操作系统的权限。

write

instance

-

coc:account:get

查询主机上已纳管的账号列表的权限

write

-

-

coc:accountPasswordChangePolicy:get

查询已开启的改密策略的权限

write

-

-

coc:accountEncryptionKey:list

查询已添加的DEW密钥的权限

write

-

-

coc:accountBaseline:list

查询账号基线列表的权限

list

accountBaseline

-

coc:accountAutoManagement:getRelations

查询已开启自动纳管的组件信息的权限

list

-

-

coc:accountEncryptionKey:listDEWKeys

查询已拥有的DEW密钥的权限

list

-

-

coc:accountBaseline:get

查询基线内的账号列表的权限

list

accountBaseline

-

coc:accountBaseline:create

创建账号基线的权限

list

accountBaseline

-

coc:accountBaseline:deleteAccount

删除基线中的账号的权限

list

accountBaseline

-

coc:account:add

导入主机上的账号的权限

list

-

-

coc:instance:resetPassword

重置主机的账号密码的权限

write

instance

-

coc:accountBaseline:delete

删除账号基线的权限

write

accountBaseline

-

coc:accountAutoManagement:updateStatus

更新自动纳管的状态的权限

write

-

-

coc:accountAutoManagement:addRelations

按组件粒度开启自动纳管的权限

write

-

-

coc:accountBaseline:update

修改账号基线的权限

write

accountBaseline

-

coc:accountPasswordChangePolicy:disable

禁用改密策略的权限

write

-

-

coc:accountAutoManagement:deleteRelations

按组件粒度关闭自动纳管的权限

write

-

-

coc:accountPasswordChangePolicy:enable

启用改密策略的权限

write

-

-

coc:accountEncryptionKey:add

添加加密密钥的权限

write

-

-

coc:account:sync

同步主机上的账号的权限

write

-

-

coc:account:getManagedStatus

查询纳管步骤状态的权限

write

-

-

coc:account:getPassword

查询主机的账号密码的权限

write

-

-

coc:accountAutoManagement:getStatus

查询自动纳管的开启状态的权限

write

-

-

coc:hostiAccount:describe

账号自己的托管服务账号的信息。

read

-

-

coc:vendorAccount:update

更新云厂商账户的权限。

read

-

-

coc:application:GetDiagnosisTaskDetails

查询应用资源诊断任务的权限。

read

application

-

coc:application:CreateDiagnosisTask

创建应用诊断任务的权限。

write

application

-

coc:vendorAccount:list

查询云厂商账户列表的权限。

list

-

-

coc:vendorAccount:create

创建云厂商账户的权限。

write

-

-

coc:vendorAccount:delete

删除云厂商账户的权限。

list

-

-

coc:customApplication:get

查询自定义应用详情的权限。

write

application

-

coc:site:list

查询局点列表的权限。

write

-

-

coc:instance:listResources

查询资源列表的权限。

list

instance

-

coc:application:listResources

查询应用资源列表的权限。

list

application

-

coc:application:list

查询应用列表的权限。

list

application

-

coc:customApplication:list

查询自定义应用列表的权限。

list

application

-

coc:application:listGroups

查询指定应用分组列表的权限。

list

application

-

coc:region:list

查询region列表的权限。

list

-

-

coc:application:deleteGroup

删除应用分组的权限。

list

application

-

coc:application:updateResources

修改应用资源的权限。

list

application

-

coc:application:create

创建应用的权限。

write

application

-

coc:application:addResources

为应用添加资源的权限。

write

application

-

coc:application:createGroup

创建应用分组的权限。

write

application

-

coc:instance:syncResources

同步资源列表的权限。

write

instance

-

coc:application:removeResources

移除应用资源的权限。

write

application

-

coc:application:delete

删除应用的权限。

write

application

-

coc:application:update

修改应用的权限。

write

application

-

coc:application:updateGroup

修改应用分组的权限。

write

application

-

coc:contingencyPlan:list

查询应急预案列表的权限。

write

contingencyPlan

-

coc:contingencyPlan:delete

删除应急预案的权限。

write

contingencyPlan

-

coc:contingencyPlan:create

创建应急预案的权限。

write

contingencyPlan

-

coc:contingencyPlan:update

修改应急预案的权限。

list

contingencyPlan

-

coc:wechatkey:create

创建企业微信应用密钥的权限。

write

-

-

coc:wechatkey:delete

删除企业微信应用密钥的权限。

write

-

-

coc:appkey:update

更新移动应用密钥的权限。

write

-

-

coc:wechatkey:update

修改企业微信管理企业密钥的权限。

write

-

-

coc:appkey:create

创建移动应用密钥的权限。

write

-

-

coc:appkey:delete

删除移动应用密钥的权限。

write

-

-

coc:appkey:get

查看移动应用密钥的权限。

write

-

-

coc:wechatkey:get

查看企业微信应用密钥的权限。

write

-

-

coc:systemConfig:update

修改系统配置的权限。

write

-

-

coc:hostAccount:delete

托管sre账号刪除托管账号。

read

-

-

coc:hostAccount:update

托管sre账号编辑托管账号。

read

-

-

coc:hostAccount:disable

账号取消托管服务。

list

-

-

coc:hostAccount:create

添加托管账号。

read

-

-

coc:hostAccount:list

托管sre账号查询托管账号。

write

-

-

coc:hostAccount:enable

账号开通托管服务。

write

-

-

coc:systemConfig:list

获取系统配置列表的权限。

write

-

-

coc:agency:create

创建租户委托的权限。

write

-

-

coc:agency:get

查询租户下的委托信息。

read

-

-

coc:notificationRule:get

查询通知规则详情的权限。

write

-

-

coc:notification:listTypes

查询通知类型的权限。

write

-

-

coc:notification:listTemplates

查询通知模板列表的权限。

read

-

-

coc:notification:listModes

查询通知方式的权限。

list

-

-

coc:notificationRule:list

查询通知规则列表的权限。

list

-

-

coc:notificationRule:update

更新通知规则的权限。

list

-

-

coc:notificationRule:delete

删除通知规则的权限。

list

-

-

coc:notificationRule:create

创建通知规则的权限。

list

-

-

coc:notificationRule:disable

停用通知规则的权限。

write

-

-

coc:ticket:get

查询事件单详情的权限。

write

-

-

coc:contingencyPlan:getHistories

查询应急预案历史的权限。

write

contingencyPlan

-

coc:ticket:listEnumTypes

查询事件单枚举类型列表的权限。

write

-

-

coc:ticket:listEnumValues

查询事件单枚举值列表的权限。

write

-

-

coc:ticket:getOperationHistories

查询事件单操作历史的权限。

list

-

-

coc:ticket:listActions

查询可以执行操作列表的权限。

list

-

-

coc:ticket:getEnumValues

查询事件单枚举值详情的权限。

list

-

-

coc:ticket:list

查询事件单列表的权限。

list

-

-

coc:ticket:update

修改事件单的权限。

list

-

-

coc:contingencyPlan:downloadFile

从应急预案下载附件的权限。

list

contingencyPlan

-

coc:ticket:delete

删除事件单的权限。

list

-

-

coc:ticket:downloadFile

为事件单下载附件的权限。

list

-

-

coc:ticket:action

处理事件单的权限。

write

-

-

coc:ticket:uploadFile

为事件单上传附件的权限。

write

-

-

coc:ticket:create

创建事件单的权限。

write

-

-

coc:contingencyPlan:uploadFile

为应急预案上传附件的权限。

write

contingencyPlan

-

coc:ticket:getEnumTypes

查询事件单枚举类型详情的权限。

write

-

-

coc:personnel:list

查询人员列表的权限。

write

-

-

coc:personnel:update

更新人员信息的权限。

write

-

-

coc:personnel:add

添加人员的权限。

write

-

-

coc:personnel:remove

移除人员的权限。

read

-

-

coc:notificationRule:confirm

确认通知规则的权限。

list

-

-

coc:instance:changeOS

切换弹性云服务器操作系统的权限。

write

instance

-

coc:oncall:listPersonnels

查询oncall排班人员列表的权限。

write

-

-

coc:oncall:listScenes

查看oncall排班场景的权限。

write

-

-

coc:oncall:listRoles

查询oncall排班角色的权限。

write

-

-

coc:oncall:updatePersonnels

更新oncall排班人员的权限。

list

-

-

coc:oncall:updateScene

更新oncall排班场景的权限。

list

-

-

coc:oncall:removePersonnels

移除oncall排班人员的权限。

list

-

-

coc:oncall:updateRole

更新oncall排班角色的权限。

write

-

-

coc:oncall:createRole

创建oncall排班角色的权限。

write

-

-

coc:oncall:deleteScene

删除oncall排班场景的权限。

write

-

-

coc:oncall:deleteRole

删除oncall排班角色的权限。

write

-

-

coc:oncall:addPersonnels

添加oncall排班人员的权限。

write

-

-

coc:oncall:createScene

创建oncall排班场景的权限。

write

-

-

coc:transferRule:get

查询流转规则详情的权限。

write

-

-

coc:transferRule:list

查询流转规则列表的权限。

write

-

-

coc:transferRule:delete

删除流转规则的权限。

write

-

-

coc:transferRule:disable

停用流转规则的权限。

list

-

-

coc:transferRule:enable

启用流转规则的权限。

list

-

-

coc:transferRule:create

创建流转规则的权限。

write

-

-

coc:transferRule:update

更新流转规则的权限。

write

-

-

coc:notificationRule:enable

启用通知规则的权限。

write

-

-

coc:transferRule:getHistory

查询流转最近事件消息的权限。

write

-

-

coc:quotas:list

查询已购买配额列表的权限。

write

-

-

coc:orders:change

更新coc订单的权限。

read

-

-

coc:orders:create

创建coc订单的权限。

list

-

-

coc:integration:list

查询集成配置列表的权限。

write

-

-

coc:integration:get

查询集成配置详情的权限。

write

-

-

coc:integration:getHistory

查询集成配置历史事件消息的权限。

list

-

-

coc:integration:update

修改集成配置的权限。

list

-

-

coc:integration:enable

启用集成配置的权限。

list

-

-

coc:integration:disable

停用集成配置的权限。

write

-

-

coc:integration:access

接入集成配置的权限。

write

-

-

coc:integration:remove

移除集成配置的权限。

write

-

-

coc:attackTargetRecord:list

查看攻击目标的执行记录列表的权限。

write

attackTargetRecord

-

coc:drillPlan:list

查询演练规划列表的权限。

write

drillPlan

-

coc:attackRecord:list

查看攻击记录列表的权限。

list

attackRecord

-

coc:faultMode:list

查询故障模式列表的权限。

list

faultMode

-

coc:monitorMetricRecord:list

查询监控指标数据列表的权限。

list

-

-

coc:attackTask:list

查看攻击任务列表的权限。

list

attackTask

-

coc:attackTarget:listCcePods

查询cce类型的攻击目标的pods列表的权限。

list

-

-

coc:improvementTask:list

查询改进事项列表的权限。

list

-

-

coc:drillTask:list

查看演练任务列表的权限。

list

drillTask

-

coc:attackTarget:listCceWorkloads

查询cce类型的攻击目标的工作负载列表的权限。

list

-

-

coc:attackTarget:listCceNamespaces

查询cce类型的攻击目标的命名空间列表的权限。

list

-

-

coc:drillPlan:listDelay

查询演练规划延期列表的权限。

list

drillPlan

-

coc:monitorMetric:list

查询监控指标列表的权限。

list

-

-

coc:faultMode:delete

删除故障模式的权限。

list

faultMode

-

coc:faultMode:update

更新故障模式的权限。

list

faultMode

-

coc:drillTask:create

创建演练任务的权限。

write

drillTask

-

coc:attackTargetRecord:operate

对攻击目标执行记录进行重试的权限。

write

attackTargetRecord

-

coc:drillReport:create

创建演练报告的权限。

write

-

-

coc:drillTask:delete

删除演练任务的权限。

write

drillTask

-

coc:faultMode:create

创建故障模式的权限。

write

faultMode

-

coc:drillRecord:create

启动演练的权限。

write

drillRecord

-

coc:drillPlan:create

创建演练规划的权限。

write

drillPlan

-

coc:drillReport:update

更新演练报告的权限。

write

-

-

coc:application:CreateResourceTopo

创建资源topo的权限。

write

application

-

coc:drillTask:update

修改演练任务的权限。

write

drillTask

-

coc:improvementTask:create

创建改进事项的权限。

write

-

-

coc:drillPlan:update

更新演练规划的权限。

write

drillPlan

-

coc:attackRecord:changeMetricType

修改某个攻击记录下指标类型的权限。

write

attackRecord

-

coc:improvementTask:update

处理改进事项的权限。

write

-

-

coc:attackTask:create

创建攻击任务的权限。

write

attackTask

-

coc:drillPlan:countStatus

查询指定演练规划状态数量的权限。

write

drillPlan

-

coc:faultMode:get

查询指定故障模式详情的权限

read

faultMode

-

coc:contingencyPlan:get

查询应急预案详情的权限。

read

contingencyPlan

-

coc:drillRecord:get

查询演练记录详情的权限。

read

drillRecord

-

coc:drillTask:get

查询演练任务详情的权限。

read

drillTask

-

coc:drillPlan:countDelay

查询指定演练规划延期数量的权限。

read

drillPlan

-

coc:improvementTask:get

查询改进事项详情的权限。

read

-

-

coc:drillReport:get

查询演练报告详情的权限。

read

-

-

coc:drillPlan:get

查询指定演练规划详情的权限

read

drillPlan

-

coc:attackTask:get

查看攻击任务详情的权限。

read

attackTask

-

coc:alarm:listHandleHistories

查询告警处理历史列表的权限。

read

-

-

coc:alarm:list

查询告警列表的权限。

list

-

-

coc:alarm:createAlarmLinkedIncident

创建告警关联事件的权限。

list

-

-

coc:alarm:clear

清除告警的权限。

write

-

-

coc:instance:getAlarms

查看某个资源的告警列表的权限。

write

instance

-

coc:alarm:get

查询告警信息的权限。

read

-

-

coc:alarm:count

查询告警数量的权限。

read

-

-

coc:instance:listAlarms

查询全部资源的告警列表的权限。

read

instance

-

coc:task:list

查询运维事务列表的权限。

list

-

-

coc:task:create

创建运维事务的权限

list

-

-

coc:task:complete

结束运维事务的权限。

write

-

-

coc:task:cancel

取消运维事务的权限。

write

-

-

coc:task:accept

受理运维事务的权限

write

-

-

coc:task:get

查询运维事务详情的权限

write

-

-

coc:task:count

查询运维事务列表的权限。

read

-

-

coc:warroom:get

查询warroom详情的权限。

read

-

-

coc:warroom:listConfigurations

查询warroom公共枚举配置的权限。

list

-

-

coc:warroom:list

查询warroom列表的权限。

write

-

-

coc:warroom:listNotificationTemplates

查询warroom通告模板列表的权限。

list

-

-

coc:warroom:listMeetings

查询warroom会议列表的权限。

list

-

-

coc:warroom:listRoles

查询warroom角色列表的权限。

list

-

-

coc:warroom:listAffectedApplications

查询warroom受影响应用列表的权限。

list

-

-

coc:warroomMeetingRule:list

查询warroom起会规则列表的权限。

list

-

-

coc:warroom:getOperationHistory

查询warroom操作历史的权限。

list

-

-

coc:warroom:addRolePersonnels

在warroom中添加角色用户的权限。

list

-

-

coc:warroom:modifyBasicInformation

修改warroom基本信息的权限。

list

-

-

coc:warroomMeetingRule:delete

删除warroom起会规则的权限。

list

-

-

coc:warroom:addAffectedApplications

在warroom中添加受影响应用的权限。

write

-

-

coc:warroom:addPersonnels

在warroom中添加人员的权限。

write

-

-

coc:warroomMeetingRule:update

更新warroom起会规则的权限。

write

-

-

coc:warroom:removeAffectedApplications

在warroom中移除受影响应用的权限。

write

-

-

coc:warroom:sendNotification

在warroom中更新/发送通告的权限。

write

-

-

coc:warroom:removePersonnels

在warroom中移除人员的权限。

write

-

-

coc:warroom:create

创建warroom的权限。

write

-

-

coc:warroom:sendNotificationBriefing

在warroom中发送通知简报的权限。

write

-

-

coc:warroom:updateAffectedApplications

在warroom中更新受影响应用的权限。

write

-

-

coc:warroomMeetingRule:create

创建warroom起会规则的权限。

write

-

-

coc:slo:list

查询slo列表的权限。

write

-

-

coc:slo:listSli

查询sli列表的权限。

write

-

-

coc:slo:update

修改slo的权限。

write

-

-

coc:slo:delete

删除slo的权限。

list

-

-

coc:slo:updateSli

更新sli列表的权限。

list

-

-

coc:slo:listInterruptRecords

查询中断记录列表的权限。

write

-

-

coc:slo:listInterruptRecordsChangeHistory

创建中断记录修改历史的权限。

write

-

-

coc:slo:updateInterruptRecords

更新中断记录的权限。

write

-

-

coc:slo:createInterruptRecords

创建中断记录的权限。

list

-

-

coc:slaTemplate:list

查询sla模板列表的权限。

list

slaTemplate

-

coc:slaRecord:list

查询sla工单列表的权限。

write

-

-

coc:slo:get

查询slo详情的权限。

write

-

-

coc:slaTemplate:update

修改sla模板的权限。

list

slaTemplate

-

coc:slaTemplate:enable

启用sla模板的权限。

list

slaTemplate

-

coc:slaTemplate:delete

删除sla模板的权限。

list

slaTemplate

-

coc:slaTemplate:disable

禁用sla模板的权限。

write

slaTemplate

-

coc:slaTemplate:create

创建sla模板的权限。

write

slaTemplate

-

coc:slo:create

创建slo的权限。

write

-

-

coc:slaTemplate:get

查询sla模板详情的权限。

write

slaTemplate

-

coc:slaRecord:get

查询sla工单详情的权限。

write

-

-

coc:prrTemplate:list

查看prr模板列表的权限。

write

-

-

coc:prrReview:list

查看prr评审列表的权限。

read

-

-

coc:prrCheckItem:list

查看prr检查项列表的权限。

read

-

-

coc:prrTemplate:create

创建prr模板的权限。

list

-

-

coc:prrReview:create

发起prr评审的权限。

list

-

-

coc:prrReview:addImprovementTask

添加PRR改进事项的权限。

list

-

-

coc:prrReview:update

继续发起prr评审的权限。

write

-

-

coc:prrTemplate:delete

删除prr模板的权限。

write

-

-

coc:prrTemplate:update

修改prr模板的权限。

write

-

-

coc:prrReview:auditResult

录入prr审核结论的权限。

write

-

-

coc:prrReview:delete

撤销prr评审的权限。

write

-

-

coc:prrReview:recordSummary

录入prr评审纪要的权限。

write

-

-

coc:prrTemplate:get

查询prr模板详情的权限。

write

-

-

coc:prrReview:get

查询prr评审详情的权限。

write

-

-

coc:tag:list

查询标签列表的权限。

write

-

-

coc:tag:create

创建标签的权限。

read

-

-

coc:*:listSSHKeypairs

查询SSH密钥列表的权限。

read

-

-

COC的API通常对应着一个或多个授权项。表2 API与授权项的关系展示了API与授权项的关系,以及该API需要依赖的授权项。

表2 API与授权项的关系

API

对应的授权项

依赖的授权项

GET /v1/patch/instance/compliant

coc:instance:scanOSCompliance

-

GET /v1/patch/instance/compliant/{instance_compliant_id}

coc:instance:scanOSCompliance

-

POST /v1/job/scripts

coc:document:create

-

DELETE /v1/job/scripts/{script_uuid

coc:document:delete

-

POST /v1/job/scripts/{script_uuid}

coc:instance:executeDocument

-

GET /v1/job/scripts/{script_uuid}

coc:document:get

-

GET /v1/job/scripts

coc:document:list

-

PUT /v1/job/scripts/{script_uuid}

coc:document:update

-

GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index}

coc:instance:autoBatchInstances

-

GET /v1/job/script/orders/{execute_uuid}

coc:job:get

-

GET /v1/job/script/orders/{execute_uuid}/statistics

coc:job:get

-

GET /v1/job/script/orders/{execute_uuid}/batches

coc:instance:autoBatchInstances

-

GET /v1/job/script/orders

coc:job:list

-

PUT /v1/job/script/orders/{execute_uuid}/operation

coc:job:action

-

GET /v1/resources

coc:instance:countResources

-

POST https://coc-intl.myhuaweicloud.com/v1/resources/sync

coc:instance:syncResources

-

GET https://coc-intl.myhuaweicloud.com/v1/applications

coc:application:countResourceRelations

-

资源类型(Resource)

资源类型(Resource)表示SCP所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的SCP语句中指定该资源的URN,SCP仅作用于此资源;如未指定,Resource默认为“*”,则SCP将应用到所有资源。您也可以在SCP中设置条件,从而指定资源类型。

COC定义了以下可以在SCP的Resource元素中使用的资源类型。

表3 COC支持的资源类型

资源类型

URN

instance

ecs:<region>:<account-id>:instance:<server-id>

instance

bms:<region>:<account-id>:instance:<server-id>

document

coc::<account-id>:document:<document-name>

job

coc::<account-id>:job:<job-id>

application

coc::<account-id>:application:<application-id>

schedule

coc::<account-id>:schedule:<schedule-id>

faultMode

coc::<account-id>:faultMode:<fault-mode-id>

contingencyPlan

coc::<account-id>:contingencyPlan:<contingency-plan-id>

attackTask

coc::<account-id>:attackTask:<attack-task-name>

attackRecord

coc::<account-id>:attackRecord:<attack-record-id>

attackTargetRecord

coc::<account-id>:attackTargetRecord:<attack-target-record-id>

drillTask

coc::<account-id>:drillTask:<drill-task-id>

drillRecord

coc::<account-id>:drillRecord:<drill-record-id>

drillPlan

coc::<account-id>:drillPlan:<drill-plan-id>

slaTemplate

coc::<account-id>:slaTemplate:<sla_template-id>

parameter

coc:<region>:<account-id>:parameter:<parameter-name>

accountBaseline

coc::<account-id>:accountBaseline:<account_baseline_id>

resourceView

coc::<account-id>:resourceView:<resourceViewId>

instance

rds:<region>:<account-id>:instance:<instance-id>

条件(Condition)

COC服务不支持在SCP中的条件键中配置服务级的条件键。

COC可以使用适用于所有服务的全局条件键,请参考全局条件键