系统权限系统权限

计算
弹性云服务器 ECS
裸金属服务器 BMS
弹性伸缩 AS
镜像服务 IMS
专属主机 DeH
函数工作流 FunctionGraph
网络
虚拟私有云 VPC
弹性公网IP EIP
虚拟专用网络 VPN
弹性负载均衡 ELB
NAT网关 NAT
云专线 DC
云解析服务 DNS
VPC终端节点 VPCEP
云连接 CC
企业交换机 ESW
安全与合规
Anti-DDoS 流量清洗
Web应用防火墙 WAF
企业主机安全 HSS
数据加密服务 DEW
数据库安全服务 DBSS
DDoS高防 AAD
数据安全中心 DSC
容器安全服务 CGS
态势感知 SA
威胁检测服务 MTD
安全治理云图 Compass
云证书管理服务 CCM
DDoS防护 ADS
数据库
云数据库 RDS
文档数据库服务 DDS
数据管理服务 DAS
数据复制服务 DRS
云数据库GaussDB NoSQL
云数据库 GaussDB(for MySQL)
分布式数据库中间件 DDM
云数据库 GaussDB(for openGauss)
人工智能
MapReduce服务 MRS
数据仓库服务 GaussDB(DWS)
人脸识别服务 FRS
图引擎服务 GES
数据湖探索 DLI
云搜索服务 CSS
图像识别 Image
内容审核 Moderation
文字识别 OCR
数据湖工厂 DLF
AI开发平台ModelArts
数据接入服务 DIS
图像搜索 ImageSearch
对话机器人服务 CBS
语音交互服务 SIS
华为HiLens
数据可视化 DLV
数据湖治理中心 DGC
自然语言处理 NLP
开发与运维
软件开发平台 DevCloud
项目管理 ProjectMan
代码托管 CodeHub
部署 CloudDeploy
编译构建 CloudBuild
流水线 CloudPipeline
发布 CloudRelease
专属云
专属计算集群 DCC
专属分布式存储服务 DSS
视频
视频直播 Live
媒体处理 MPC
云生态
合作伙伴中心
用户服务
帐号中心
费用中心
成本中心
资源中心
企业管理
工单管理
国际站常见问题
备案中心
支持计划
客户运营能力
合作伙伴支持计划
专业服务
开发者工具
SDK开发指南
API签名指南
Terraform
HCloud CLI
帮助中心> 系统权限> 系统权限
更新时间:2022-03-01 GMT+08:00

系统权限

默认情况下,管理员创建的IAM用户没有任何权限,需要将其加入用户组,并给用户组授予策略或角色,才能使得用户组中的用户获得对应的权限,这一过程称为授权。授权后,用户就可以基于被授予的权限对云服务进行操作。

作用范围:权限的作用范围,给用户组授予权限时,选择的授权区域。
  • 全局服务:服务部署时不区分物理区域,为全局级服务,在全局服务中授权,如OBS、CDN等。
  • 区域级项目:服务部署时通过物理区域划分,在区域级项目中授权,并且只在授权区域生效,如ECS、BMS等。
    • 所有项目:选择所有项目后,授权将对所有项目都生效,包括全局服务和所有项目(包括未来创建的项目)。
    • 项目:选择对应项目,授权将对指定项目生效。

权限类别:权限根据授权粒度分为角色和策略。策略是IAM最新提供的一种细粒度授权的能力,可以精确到具体服务的操作、资源以及请求条件等。详情请参见:权限

  • 如果一个服务同时有策略和角色,建议优先选择策略进行授权。
  • 支持策略的服务,可以创建自定义策略,自定义策略是对系统策略的扩展和补充,可以精确地允许或拒绝用户对服务的某个资源类型在一定条件下进行指定的操作。

系统策略列表

服务

作用范围

系统权限

权限类别

权限描述

BASE

全局服务

FullAccess

策略

支持策略授权服务的所有权限。

所有项目

Tenant Administrator

角色

除统一身份认证服务外,其他所有服务的所有权限。

说明:
  • 作用范围为全局服务,授权将对全局服务生效。
  • 作用范围为所有项目,授权将对全局服务和所有项目(包括未来创建的项目)生效。
  • 作用范围为项目,授权仅对指定项目生效。

所有项目

Tenant Guest

除统一身份认证服务外,其他所有服务的只读权限。

说明:
  • 作用范围为全局服务,授权将对全局服务生效。
  • 作用范围为所有项目,授权将对全局服务和所有项目(包括未来创建的项目)生效。
  • 作用范围为项目,授权仅对指定项目生效。

全局服务

Agent Operator

切换角色并访问委托方账号中的资源。

弹性云服务器(ECS)

(项目级服务)

区域级项目

ECS FullAccess

策略

弹性云服务器的所有执行权限。

ECS ReadOnlyAccess

弹性云服务器的只读权限。

ECS CommonOperations

角色

开机、关机、重启、查询弹性云服务器。

云容器引擎(CCE)

(项目级服务)

区域级项目

CCE FullAccess

策略

云容器引擎服务集群资源的普通操作权限(包含集群创建、删除、更新等)。不包括集群(启用Kubernetes RBAC鉴权)命名空间权限以及委托授权、生成集群证书等管理员权限。

说明:

IAM用户可以在CCE控制台获取集群(启用Kubernetes RBAC鉴权)命名空间权限以及委托授权、生成集群证书等管理员权限,详情请参考:CCE权限概述

CCE ReadOnlyAccess

云容器引擎服务集群资源的普通只读权限,不包括集群(启用Kubernetes RBAC鉴权)命名空间权限。

CCE Administrator

角色

具有CCE集群及集群下所有资源(包含集群、节点、工作负载、任务、服务等)的读写权限。

该角色有依赖,需要同时又拥有以下权限:

全局服务:OBS Buckets Viewer。

区域级项目(在同项目中勾选):Tenant Guest、Server Administrator、ELB Administrator、SFS Administrator、SWR Admin、APM FullAccess。

说明:

如果同时拥有NAT Gateway Administrator权限,则可以在集群中使用NAT网关的相关功能。

对象存储服务(OBS)

全局服务

OBS OperateAccess

策略

拥有该权限的用户可以执行OBS ReadOnlyAccess的所有操作,在此基础上还可以执行上传对象、下载对象、删除对象、获取对象ACL等对象基本操作。

OBS ReadOnlyAccess

拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据、列举对象的操作。

OBS Buckets Viewer

角色

拥有该权限的用户可以执行列举桶、获取桶基本信息、获取桶元数据的操作。

内容分发网络(CDN)

(全局级服务)

全局服务

CDN DomainReadOnlyAccess

策略

内容分发网络加速域名信息的只读权限。

CDN StatisticsReadOnlyAccess

内容分发网络统计信息的只读权限。

CDN LogsReadOnlyAccess

内容分发网络日志的只读权限。

CDN Domain

Configuration

Operator

内容分发网络加速域名的配置权限。

CDN RefreshAndPreheatAccess

内容分发网络刷新预热权限。

CDN Administrator

角色

内容分发网络的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

存储容灾服务(SDRS)

(项目级服务)

区域级项目

SDRS Administrator

角色

存储容灾服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

SSL证书管理(SCM)

(全局级服务)

全局服务

SCM Administrator

角色

SSL证书管理服务的管理员权限,拥有服务的所有权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator

SCM FullAccess

策略

SSL证书管理服务的所有权限。

SCM ReadOnlyAccess

SSL证书管理服务只读权限,拥有该权限的用户仅能查询证书信息,不具备对证书进行增删改权限。

态势感知(SA)

(全局级服务)

全局服务

SA FullAccess

策略

态势感知的所有权限。

SA ReadOnlyAccess

态势感知只读权限,拥有该权限的用户仅能查看态势感知数据,不具备态势感知配置权限。

云堡垒机(CBH)

(项目级服务)

区域级项目

CBH FullAccess

策略

云堡垒机实例的所有权限。

CBH ReadOnlyAccess

云堡垒机实例只读权限,拥有该权限的用户仅能查看云堡垒机服务,不具备服务配置和操作权限。

业务支撑系统(BSS)

(项目级服务)

须知:

授权时,除了全局服务外,需要授予其他所有区域的权限。

区域级项目

BSS Administrator

角色

费用中心、资源中心、账号中心的所有执行权限。

BSS Operator

费用中心的查询权限,资源中心和账号中心的管理权限。

BSS Finance

财务相关的操作权限,可以提供支付、消费、发票等财务相关功能,不提供云服务的变更等功能。

Enterprise Project BSS FullAccess

策略

企业项目费用的管理权限。

弹性云服务器(ECS)

云硬盘(EVS)

虚拟私有云(VPC)

镜像服务(IMS)

(项目级服务)

区域级项目

Server Administrator

角色

  • 弹性云服务器的所有执行权限,该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

    如果在操作过程中涉及其他服务资源的创建、删除、变更等,则还需要在同项目中勾选对应服务的Administrator权限

    例如:在控制台创建ECS时如需创建新的VPC,则需额外授予创建VPC的VPC Administrator权限。

  • 云硬盘服务的所有执行权限。
  • 对弹性IP地址、安全组、端口进行任意操作,该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest
  • 创建、删除、查询、修改及上传镜像,该角色有依赖,需要在同项目中勾选依赖的角色:IMS Administrator。

云容器实例(CCI)

(项目级服务)

区域级项目

CCI FullAccess

策略

云容器实例所有权限,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。

CCI ReadOnlyAccess

云容器实例只读权限,拥有该权限的用户仅能查看云容器实例资源。

CCI CommonOperations

云容器实例普通用户,拥有该权限的用户可以执行除RBAC、network和namespace子资源创建、删除、修改之外的所有操作。

CCI Administrator

角色

云容器实例管理员权限,拥有该权限的用户可以执行云容器实例所有资源的创建、删除、查询、更新操作。

弹性伸缩(AS)

(项目级服务)

区域级项目

AutoScaling FullAccess

策略

弹性伸缩全部资源的所有执行权限。

AutoScaling ReadOnlyAccess

弹性伸缩全部资源的只读权限。

AutoScaling Administrator

角色

对弹性伸缩全部资源的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:ELB Administrator、CES Administrator、Server Administrator、Tenant Administrator。

镜像服务(IMS)

(项目级服务)

区域级项目

IMS FullAccess

策略

镜像服务的所有执行权限。

IMS ReadOnlyAccess

镜像服务的只读权限。

IMS Administrator

角色

镜像服务的所有执行权限。

该角色有依赖,需要在全局服务中勾选依赖的角色:Tenant Administrator。

云硬盘(EVS)

(项目级服务)

区域级项目

EVS FullAccess

策略

云硬盘的所有权限,具有云硬盘资源的创建、扩容、挂载、卸载、查询、删除等操作权限。

EVS ReadOnlyAccess

云硬盘的只读权限,只有云硬盘资源的查询权限。

云服务器备份(CSBS)

(项目级服务)

区域级项目

CSBS Administrator

角色

云服务器备份的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Server Administrator。

云硬盘备份(VBS)

(项目级服务)

区域级项目

VBS Administrator

角色

云硬盘备份的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

专属分布式存储服务(DSS)

(项目级服务)

区域级项目

DSS FullAccess

策略

专属分布式存储服务的所有执行权限。

DSS ReadOnlyAccess

专属分布式存储服务的只读权限。

虚拟私有云(VPC)

(项目级服务)

区域级项目

VPC FullAccess

策略

虚拟私有云的所有执行权限。

VPC ReadOnlyAccess

虚拟私有云的只读权限。

VPC Administrator

角色

虚拟私有云的部分操作权限,不包括创建、修改、删除、查看安全组以及安全组规则。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云容器引擎(CCE)

(项目级服务)

区域级项目

CCE FullAccess

策略

云容器引擎服务的所有执行权限。

CCE ReadOnlyAccess

云容器引擎服务的只读权限以及对kubernetes资源的所有执行权限。

CCE Administrator

角色

具有CCE集群及集群下所有资源(包含集群、节点、工作负载、任务、服务等)的读写权限。

该角色有依赖,需要同时又拥有以下权限:

全局服务:OBS Buckets Viewer。

区域级项目(在同项目中勾选):Tenant Guest、Server Administrator、ELB Administrator、SFS Administrator、SWR Admin、APM FullAccess。

说明:

如果同时拥有NAT Gateway Administrator权限,则可以在集群中使用NAT网关的相关功能。

应用编排服务(AOS)

(项目级服务)

区域级项目

CDE Admin

角色

应用编排服务(AOS)管理员,拥有该服务下的所有权限。

CDE Developer

应用编排服务(AOS)开发者。

资源编排服务(RF)

(项目级服务)

区域级项目

RF FullAccess

策略

资源编排服务(RF)所有权限。

RF ReadOnlyAccess

资源编排服务(RF)只读权限。

RF DeployByExecutionPlanOperations

资源编排服务(RF)通过执行计划开发权限,拥有执行计划的创建、执行、读取权限和堆栈的读取权限。

表格存储服务(CloudTable)

(项目级服务)

区域级项目

CloudTable

Administrator

角色

表格存储服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

云解析服务(DNS)

(项目级服务)

区域级项目

DNS Administrator

角色

云解析服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、VPC Administrator。

DNS FullAccess

策略

云解析服务的所有执行权限。

DNS ReadOnlyAccess

云解析服务只读权限,拥有该权限的用户仅能查看DNS的资源。

VPC终端节点(VPCEP)

(项目级服务)

区域级项目

VPCEndpoint Administrator

角色

VPC终端节点的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Server AdministratorVPC AdministratorDNS Administrator

统一身份认证服务(IAM)

(全局级服务)

全局服务

Security Administrator

角色

统一身份认证服务的所有执行权限。

全局服务

IAM ReadOnlyAccess

策略

统一身份认证服务的只读权限。

云审计服务(CTS)

(项目级服务)

区域级项目

CTS FullAccess

策略

云审计服务所有权限。

说明:

开通云审计服务,需同时拥有CTS FullAccess、Security Administrator权限。

CTS ReadOnlyAccess

云审计服务只读权限。

CTS Administrator

角色

云审计服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Tenant Administrator。

消息通知服务(SMN)

(项目级服务)

区域级项目

SMN Administrator

角色

消息通知服务的所有执行权限。

SMN FullAccess

策略

消息通知服务所有权限。

SMN ReadOnlyAccess

消息通知服务的只读访问权限。

关系型数据库(RDS)

(项目级服务)

区域级项目

RDS FullAccess

策略

关系型数据库的所有执行权限。

RDS ReadOnlyAccess

关系型数据库的只读权限。

RDS UserAccess

关系型数据库除删除操作外的DBA权限。

RDS Administrator

角色

关系型数据库的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

分布式消息服务(DMS)(项目级服务)

区域级项目

DMS Administrator

角色

分布式消息服务的所有执行权限。

分布式消息服务

(DMS Kafka、DMS RabbitMQ)

(项目级服务)

区域级项目

DMS UserAccess

策略

分布式消息服务(DMS Kafka、DMS RabbitMQ)普通用户权限(没有实例创建、修改、删除、扩容、转储)。

DMS ReadOnlyAccess

分布式消息服务(DMS Kafka、DMS RabbitMQ)的只读权限,拥有该权限的用户仅能查看分布式消息服务数据。

DMS FullAccess

分布式消息服务(DMS Kafka、DMS RabbitMQ)管理员权限,拥有该权限的用户可以操作所有分布式消息服务的功能。

文档数据库服务(DDS)

(项目级服务)

区域级项目

DDS FullAccess

策略

文档数据库服务的所有执行权限。

DDS ReadOnlyAccess

文档数据库服务的只读权限。

DDS ManageAccess

文档数据库服务除删除操作外的DBA权限。

DDS Administrator

角色

文档数据库服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

如果配置了DDS企业项目,需要在同项目中勾选DAS Admin角色,才可以通过DDS界面登录到DAS服务。

数据复制服务(DRS)

(项目级服务)

区域级项目

DRS Administrator

角色

数据复制服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

DRS FullAccess

策略

数据复制服务所有权限。

DRS ReadOnlyAccess

数据复制服务只读权限

数据管理服务(DAS)

(项目级服务)

区域级项目

DAS Administrator

角色

数据管理服务管理员,拥有该服务下的所有权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

DAS FullAccess

策略

数据管理服务的所有权限。

云数据库 GaussDB NoSQL

(项目级服务)

区域级项目

GaussDB NoSQL FullAccess

策略

云数据库 GaussDB NoSQL服务所有权限。

GaussDB NoSQL ReadOnlyAccess

云数据库 GaussDB NoSQL服务只读权限。

云数据库 GaussDB(for openGauss)

(项目级服务)

区域级项目

GaussDB FullAccess

策略

云数据库GaussDB服务的所有执行权限。

GaussDB ReadOnlyAccess

云数据库GaussDB服务的只读访问权限。

云数据库 GaussDB(for MySQL)

(项目级服务)

区域级项目

GaussDB FullAccess

策略

云数据库GaussDB服务的所有执行权限。

GaussDB ReadOnlyAccess

云数据库GaussDB服务的只读访问权限。

应用运维管理服务(AOM)

(项目级服务)

区域级项目

AOM FullAccess

策略

应用运维管理服务的所有执行权限。

AOM ReadOnlyAccess

应用运维管理服务的只读权限。

应用性能管理服务(APM)

(项目级服务)

区域级项目

APM FullAccess

策略

应用性能管理服务的所有执行权限。

APM ReadOnlyAccess

应用性能管理服务的只读权限。

APM Administrator

角色

应用性能管理服务的所有执行权限。

容器镜像服务(SWR)

(项目级服务)

区域级项目

SWR Admin

角色

容器镜像服务的所有执行权限。

SWR FullAccess

策略

容器镜像服务企业版所有权限。

SWR ReadOnlyAccess

容器镜像服务企业版只读权限,可以查询制品仓库、Chart,创建临时凭证,下载制品等。

SWR OperateAccess

容器镜像服务企业版操作权限,可以查询企业版实例,操作制品仓库、组织,创建临时凭证,上传、下载制品等。

区块链服务(BCS)

(项目级服务)

区域级项目

BCS Administrator

角色

区块链服务的管理员权限。

BCS FullAccess

策略

区块链服务所有权限。

BCS ReadOnlyAccess

区块链服务只读权限。

基因容器(GCS)

(项目及服务)

区域级项目

GCS Administrator

角色

基因容器服务管理员。

GCS FullAccess

策略

基因容器服务的所有执行权限。

GCS ReadOnlyAccess

基因容器服务的只读权限。

GCS CommonOperations

基因容器服务的使用权限。

云监控服务(Cloud Eye)

(项目级服务)

区域级项目

CES Administrator

角色

云监控服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、server administrator。

区域级项目

CES FullAccess

策略

云监控服务的管理员权限,拥有该权限可以操作云监控服务的全部权限。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用。

区域级项目

CES ReadOnlyAccess

云监控服务的只读权限,拥有该权限仅能查看云监控服务的数据。

云服务监控功能因为涉及需要查询其他云服务的实例资源,需要涉及服务支持策略授权特性,才可以正常使用。

Web应用防火墙(WAF)

(项目级服务)

区域级项目

WAF Administrator

角色

Web应用防火墙的所有执行权限。

WAF FullAccess

策略

Web应用防火墙服务的所有权限。

WAF ReadOnlyAccess

Web应用防火墙服务的只读访问权限。

企业主机安全(HSS)

(项目级服务)

区域级项目

HSS Administrator

角色

企业主机安全的所有执行权限。

HSS FullAccess

策略

企业主机安全服务所有权限。

HSS ReadOnlyAccess

企业主机安全服务的只读访问权限。

漏洞扫描服务(VSS)

(项目级服务)

区域级项目

VSS Administrator

角色

漏洞扫描服务的所有执行权限。

管理检测与响应(MDR)(项目级服务)

区域级项目

SES Administrator

角色

管理检测与响应服务的管理员权限。

该角色有依赖,需要在同项目中勾选依赖的角色:BSS Administrator。

数据库安全服务(DBSS)

(项目级服务)

区域级项目

DBSS System Administrator

角色

数据库安全服务的所有执行权限。

DBSS Audit Administrator

数据库安全服务的安全审计权限。

DBSS Security Administrator

数据库安全服务的安全防护权限。

DBSS FullAccess

策略

数据库安全服务所有权限。

DBSS ReadOnlyAccess

数据库安全服务只读权限,拥有该权限的用户仅能查看数据库安全服务,不具备服务配置权限。

数据加密服务(DEW)

(项目级服务)

区域级项目

KMS Administrator

角色

数据加密服务加密密钥的管理员权限。

KMS CMKFullAccess

策略

数据加密服务加密密钥所有权限。

DEW KeypairFullAccess

数据加密服务密钥对所有权限。

DEW KeypairReadOnlyAccess

数据加密服务密钥对查看权限。

Anti-DDoS流量清洗

(项目级服务)

区域级项目

Anti-DDoS Administrator

角色

Anti-DDoS流量清洗的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

DDoS高防 (AAD)

(项目级服务)

区域级项目

CAD Administrator

角色

DDoS高防服务管理员,拥有该服务下的所有权限。

弹性文件服务(SFS)

(项目级服务)

区域级项目

SFS FullAccess

策略

弹性文件服务的所有执行权限。

SFS ReadOnlyAccess

弹性文件服务的只读权限。

SFS Turbo FullAccess

弹性文件服务SFS Turbo的所有权限。

SFS Turbo ReadOnlyAccess

弹性文件服务SFS Turbo的只读权限。

SFS Administrator

角色

弹性文件服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

分布式缓存服务(DCS)

(项目级服务)

区域级项目

DCS FullAccess

策略

分布式缓存服务的所有执行权限。

DCS UserAccess

分布式缓存服务的普通用户权限(无实例创建、修改、删除、扩缩容)。

DCS ReadOnlyAccess

分布式缓存服务的只读权限。

DCS Administrator

角色

分布式缓存服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

MapReduce服务(MRS)

(项目级服务)

区域级项目

MRS FullAccess

策略

MapReduce服务的所有执行权限。

MRS CommonOperations

MapReduce服务的普通用户权限(无新增、删除资源权限)。

MRS ReadOnlyAccess

MapReduce服务的只读权限。

MRS Administrator

角色

MapReduce服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

应用管理与运维平台(ServiceStage)

云性能测试服务

(CPTS)

(项目级服务)

区域级项目

ServiceStage Administrator

角色

拥有该权限的用户对CPTS的所有用户下的测试资源具有执行权限(如增删改查),能够操作所有用户的测试资源

ServiceStage Developer

拥有该权限的用户只对本用户测试资源具有执行权限(如增删改查)。

ServiceStage Operator

拥有该权限的用户只对本用户测试资源具有可读权限。

ServiceStage FullAccess

策略

应用管理与运维平台所有权限。

ServiceStage ReadOnlyAccess

应用管理与运维平台只读权限。

ServiceStage Development

应用管理与运维平台开发者权限,拥有应用、组件、环境的操作权限,但无审批权限和基础设施创建权限。

微服务引擎服务(CSE)

区域级项目

CSE FullAccess

策略

微服务引擎服务所有权限。

CSE ReadOnlyAccess

微服务引擎服务只读权限。

弹性负载均衡(ELB)

(项目级服务)

区域级项目

ELB FullAccess

策略

弹性负载均衡的所有执行权限。

ELB ReadOnlyAccess

弹性负载均衡的只读权限。

ELB Administrator

角色

弹性负载均衡的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

NAT网关(NAT)

(项目级服务)

区域级项目

NAT FullAccess

策略

NAT网关的所有执行权限。

NAT ReadOnlyAccess

NAT网关的只读权限。

NAT Gateway Administrator

角色

NAT网关的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

云专线(DC)

(项目级服务)

区域级项目

Direct Connect Administrator

角色

云专线服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

虚拟专用网络(VPN)

(项目级服务)

区域级项目

VPN Administrator

策略

虚拟专用网络的管理员权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、VPC Administrator。

VPN FullAccess

策略

虚拟专用网络服务所有权限。

VPN ReadOnlyAccess

虚拟专用网络服务只读权限。

云备份(CBR)

(项目级服务)

区域级项目

CBR FullAccess

策略

云备份管理员权限,拥有该权限的用户可以操作并使用所有存储库和策略。

CBR BackupsAndVaultsFullAccess

策略

云备份普通用户权限,拥有该权限的用户可以创建、查看和删除存储库等。

CBR ReadOnlyAccess

策略

云备份只读权限,拥有该权限的用户仅能查看云备份数据。

图引擎服务(GES)

(项目级服务)

区域级项目

GES Administrator

角色

图引擎服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

GES Manager

GES服务高级用户,可以对GES资源执行除创建图和删除图以外的任意操作。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

GES Operator

只读图、访问图权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest。

区域级项目

GES FullAccess

策略

图引擎服务管理员权限,拥有该权限的用户拥有图引擎服务的全部权限,包括创建、删除、访问、升级等操作。

GES Development

图引擎服务使用权限,拥有该权限的用户可以执行除了创建图、删除图以外所有操作。

GES ReadOnlyAccess

图引擎服务资源只读权限,拥有该权限的用户只能做一些资源查看类的操作如查看图列表、查看元数据和查看备份等。

ModelArts

(项目级服务)

区域级项目

ModelArts FullAccess

策略

ModelArts管理员权限,拥有ModelArts所有的权限。

ModelArts CommonOperations

ModelArts操作权限,拥有除了管理专属资源池之外的所有操作权限。

数据湖治理中心(DGC)

(项目级服务)

区域级项目

DGC FullAccess

策略

数据湖治理中心所有权限。

DGC ReadOnlyAccess

数据湖治理中心只读权限。

DGC CommonOperations

数据湖治理中心操作权限。

DGC Development

数据湖治理中心开发权限。

数据仓库服务GaussDB(DWS)

(项目级服务)

区域级项目

DWS FullAccess

策略

数据仓库服务的所有执行权限。

DWS ReadOnlyAccess

数据仓库服务的只读权限。

DWS Administrator

角色

数据仓库服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

DWS Database Access

数据仓库服务数据库访问权限,拥有该权限的用户,可以基于IAM用户生成临时数据库用户凭证以连接DWS集群数据库。

数据湖探索(DLI)

(项目级服务)

区域级项目

DLI Service Admin

角色

数据湖探索的所有执行权限。

DLI Service User

数据湖探索的使用权限,无创建资源权限。

数据接入服务(DIS)

(项目级服务)

区域级项目

DIS Administrator

角色

数据接入服务的所有执行权限。

DIS Operator

通道管理权限,拥有创建删除等管理通道的权限,但不能使用通道上传下载数据。

DIS User

通道使用权限,拥有使用通道上传下载数据的权限,但不能管理通道。

对话机器人服务(CBS)

(项目级服务)

区域级项目

CBS Administrator

角色

对话机器人服务的所有执行权限。

CBS Guest

对话机器人服务的只读权限。

华为HiLens

(项目级服务)

区域级项目

HiLens FullAccess

策略

Huawei HiLens管理员权限,拥有该权限的用户可以操作并使用所有Huawei HiLens服务。

如果需要申请公测、设置告警接收和设置技能消息的操作权限,需要在同项目中勾选SMN Administrator角色。

HiLens CommonOperations

Huawei HiLens操作权限,拥有该权限的用户拥有Huawei HiLens服务的操作权限除了注销设备、下架技能的权限。

HiLens ReadOnlyAccess

Huawei HiLens只读权限,拥有该权限的用户仅能查看Huawei HiLens服务的数据。

如果需要申请公测、设置告警接收和设置技能消息的操作权限,需要在同项目中勾选SMN Administrator角色。

可信智能计算服务(TICS)

(项目级服务)

区域级项目

TICS FullAccess

策略

可信智能计算服务的所有访问权限。

TICS ReadOnlyAccess

可信智能计算服务的只读访问权限。

TICS CommonOperations

可信智能计算服务联盟、作业、代理、通知、数据集的管理权限

云桌面(Workspace)

(项目级服务)

区域级项目

Workspace Administrator

角色

云桌面服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator、VPC Administrator策略

应用与数据集成平台(ROMA Connect)

(项目级服务)

区域级项目

ROMA Administrator

角色

ROMA Connect管理员权限,拥有该权限的用户可以操作并使用所有ROMA Connect功能。

该角色有依赖,请根据需要在同项目中勾选依赖的角色:

  • 使用VPC通道时,用户还需具备VPC Administrator角色权限。
  • 使用FunctionGraph作为API的后端服务时,用户还需具备FunctionGraph Administrator角色权限。
  • 使用规则引擎转发DIS时,用户还需具备DIS Administrator角色权限。

ROMA FullAccess

策略

ROMA Connect服务所有权限,拥有该权限的用户可以操作所有ROMA Connect服务的功能。

ROMA CommonOperations

ROMA Connect服务普通用户权限(无实例创建、修改、删除的权限)。

ROMA ReadOnlyAccess

ROMA Connect服务的只读权限,拥有该权限的用户仅能查看ROMA Connect服务数据。

智能边缘云(IEC)

(全局级服务)

全局服务

IEC FullAccess

策略

智能边缘云所有权限,拥有该权限的用户可以对IEC资源执行任意操作。

IEC ReadOnlyAccess

智能边缘云只读权限,拥有该权限的用户可以查询IEC资源的利用情况,即仅拥有IEC读权限。

专业服务

(全局级服务、项目级服务)

所有项目

PSDMFullAccess

策略

专业服务交付管理平台的所有权限。

PSDMReadOnlyAccess

专业服务交付管理平台的只读权限。

项目管理(ProjectMan)

(项目级服务)

区域级项目

ProjectMan ConfigOperations

策略

软件开发云项目配置的所有权限。

专属主机(DeH)

(项目级服务)

区域级项目

DeH FullAccess

策略

专属主机所有执行权限。

DeH CommonOperations

专属主机基本操作权限。

DeH ReadOnlyAccess

专属主机只读权限,拥有该权限的用户仅能进行查询操作,可用于统计和调查。

数据安全中心(DSC)

(项目级服务)

区域级项目

DSC FullAccess

策略

数据安全中心服务所有权限。

DSC ReadOnlyAccess

数据安全中心服务只读权限。

DSC DashboardReadOnlyAccess

数据安全中心服务大屏服务只读权限。

云速建站CloudSite

(项目级服务)

区域级项目

CloudSite FullAccess

策略

云速建站服务所有权限。

CloudSite ReadOnlyAccess

云速建站服务只读权限。

CloudSite CommonOperations

云速建站服务基本操作权限, 包括查看和修改站点信息。

软件开发平台(DevCloud)

(项目级服务)

区域级项目

DevCloud Console FullAccess

策略

软件开发平台控制台所有权限。

DevCloud Console ReadOnlyAccess

软件开发平台控制台只读权限。

网站备案

(全局级服务)

全局服务

Beian Administrator

角色

备案服务管理员,拥有备案服务的所有执行权限。

语音通话(VoiceCall)

消息&短信(MSGSMS)

(项目级服务)

区域级项目

RTC Administrator

角色

语音通话、消息&短信、隐私保护通话的所有执行权限。

隐私保护通话(PrivateNumber)

(项目级服务)

区域级项目

RTC Administrator

角色

语音通话、消息&短信、隐私保护通话的所有执行权限。

PrivateNumber FullAccess

策略

隐私保护通话服务所有权限。

PrivateNumber ReadOnlyAccess

隐私保护通话服务只读权限。

云数据迁移(CDM)

(项目级服务)

区域级项目

CDM Administrator

角色

云数据迁移的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

CDM FullAccess

策略

CDM管理员权限,拥有CDM服务所有权限。

CDM FullAccessExceptUpdateEIP

拥有除绑定/解绑EIP外的所有CDM服务权限。

CDM CommonOperations

拥有CDM作业和连接的操作权限。

CDM ReadOnlyAccess

CDM服务只读权限,拥有该权限的用户仅能查看CDM集群、连接、作业。

主机迁移服务(SMS)

(全局级服务)

全局服务

SMS FullAccess

策略

主机迁移服务所有权限。

SMS ReadOnlyAccess

主机迁移服务只读权限。

对象存储迁移服务(OMS)

(项目级服务)

区域级项目

OMS Administrator

角色

对象存储迁移服务所有权限。

如需使用OMS,需要为IAM用户同时授予系统策略OBS OperateAccess。

云连接(CC)

(全局级服务)

全局服务

Cross Connect Administrator

角色

云连接服务的管理员权限,拥有该权限的用户拥有云连接服务所有执行权限。

角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、VPC Administrator

CC FullAccess

策略

云连接服务所有权限。

CC ReadOnlyAccess

云连接服务只读权限。

CC Network Depend QueryAccess

云连接服务依赖的只读权限。

实时音视频(CloudRTC)

(全局服务)

全局服务

RTC FullAccess

策略

实时音视频服务所有权限。

RTC ReadOnlyAccess

实时音视频服务只读权限。

视频点播服务(VOD)

(项目级服务)

区域级项目

VOD Administrator

角色

视频点播服务里的所有操作权限,操作对象为所有的媒资文件。

VOD Group Administrator

除全局配置以及域名管理以外的其他点播服务操作权限,操作对象为用户所在组创建的媒资文件。

VOD Group Operator

具有除审核媒资、删除媒资、全局配置、域名管理以外的其他点播服务操作权限,操作对象为用户所在组创建的媒资文件。

VOD Group Guest

仅具备查询媒资文件的权限,操作对象为用户所在组创建的媒资文件。

VOD Operator

具有除审核媒资、全局配置、域名管理以外的其他点播服务操作权限,操作对象为用户所在组创建的视频文件。

VOD Guest

视频点播服务只读权限。

VOD FullAccess

策略

视频点播服务所有权限。

VOD ReadOnlyAccess

视频点播服务只读权限。

VOD CommonOperations

视频点播服务基本操作权限。具有除全局配置、域名管理、权限管理、审核设置、音视频托管以外的其他点播服务操作权限。

视频直播服务(Live)

(项目级服务)

区域级项目

Live FullAccess

策略

视频直播服务所有权限。

Live ReadOnlyAccess

视频直播服务只读权限。

人脸识别服务(FRS)

(项目级服务)

区域级项目

FRS FullAccess

策略

人脸识别服务所有权限。

FRS ReadOnlyAccess

人脸识别服务只读访问权限。

分布式数据库中间件(DDM)

(项目级服务)

区域级项目

DDM FullAccess

策略

分布式数据库中间件的所有执行权限。

DDM CommonOperations

分布式数据库中间件的普通权限。

普通权限与所有执行权限比较,普通权限不具备以下操作权限:

  • 购买DDM实例
  • 删除DDM实例
  • 平滑扩容
  • 扩容失败-回滚、扩容失败-清理

DDM ReadOnlyAccess

分布式数据库中间件的只读权限。

云搜索服务(CSS)

(项目级服务)

区域级项目

Elasticsearch Administrator

角色

云搜索服务的所有执行权限。

该角色有依赖,需要在同项目中勾选依赖的角色:Tenant Guest、Server Administrator。

API网关(APIG)

(项目级服务)

区域级项目

APIG Administrator

角色

API网关服务的管理员权限。拥有该权限的用户可以使用共享版专享版API网关服务的所有功能。

使用VPC通道时,用户还需具备VPC Administrator角色权限

使用自定义认证功能,用户还需具备FunctionGraph Administrator角色权限。

APIG FullAccess

策略

API网关服务所有权限。拥有该权限的用户可以使用专享版API网关服务的所有功能。

APIG ReadOnlyAccess

API网关服务的只读访问权限。拥有该权限的用户只能查看专享版API网关的各类信息。

云防火墙(CFW)

(项目级服务)

区域级项目

CFW FullAccess

策略

云防火墙服务所有权限。

CFW ReadOnlyAccess

云防火墙服务只读权限。

消息中心

(全局级服务)

全局服务

MessageCenter FullAccess

策略

消息中心所有权限。

MessageCenter ReadOnlyAccess

消息中心只读权限。

MessageCenter RecipientManagement

消息中心消息接收管理权限,包含消息接收配置、语音接收配置和接收人管理的查看和修改权限。

文档是否有解决您的问题?

提交成功!

非常感谢您的反馈,我们会继续努力做到更好!

反馈提交失败,请稍后再试!

在文档使用中是否遇到以下问题







请至少选择或填写一项反馈信息

字符长度不能超过200

反馈内容不能为空!

提交反馈 取消