文档首页/统一身份认证服务 IAM_统一身份认证服务(新版)/服务授权参考/身份策略授权参考/管理与监管/优化顾问 OA
更新时间:2026-03-12 GMT+08:00
查看PDF
分享

优化顾问 OA

云服务在IAM预置了常用授权项,称为系统身份策略。如果IAM系统身份策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义身份策略来进行精细的访问控制,IAM自定义身份策略是对系统身份策略的扩展和补充。

除IAM服务外,Organizations服务中的服务控制策略(Service Control Policies,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。

SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM身份策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。

IAM服务与Organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:IAM服务与Organizations服务权限访问控制的区别

本章节介绍IAM服务身份策略授权场景中自定义身份策略和组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)

操作(Action)

操作(Action)即为身份策略中支持的操作项。

  • “访问级别”列描述如何对操作进行分类(list、read和write等)。此分类可帮助您了解在策略中相应操作对应的访问级别。
  • “资源类型”列指每个操作是否支持资源级权限。
    • 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的Resource元素中指定所有资源类型(“*”)。
    • 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
    • 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。

    关于优化顾问定义的资源类型的详细信息请参见资源类型(Resource)

  • “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。
    • 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
    • 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
    • 如果此列条件键没有值(-),表示此操作不支持指定条件键。

    关于优化顾问定义的条件键的详细信息请参见条件(Condition)

  • 别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的API访问。详细信息请参见身份策略兼容性说明

您可以在身份策略语句的Action元素中指定以下优化顾问的相关操作。

表1 优化顾问支持的授权项

授权项

描述

访问级别

资源类型

(*为必须)

条件键

别名

oa::listAuthorizations

授予获取用户授权列表。

read

-

-

oa:authorizations:list

oa::updateAuthorizations

授予修改用户授权。

write

-

-

oa:authorizations:update

oa::deleteAuthorizations

授予删除用户授权。

write

-

-

oa:authorizations:delete

oa:monthReports:list

授予获取月度报告列表。

read

-

-

-

oa:monthReports:get

授予获取月度报告详情。

read

-

-

-

oa:monthReports:download

授予下载月度报告。

read

-

-

-

oa:checkItemRules:update

授予修改检查项规则。

write

-

-

-

oa:checkItemRules:list

授予获取检查项规则列表。

read

-

-

-

oa:autoCheckRule:update

授予修改自动检查规则。

write

-

-

-

oa:autoCheckRule:get

授予获取自动检查规则。

read

-

-

-

oa:riskItemsCheck:createTask

授予创建风险项检查任务。

write

-

-

-

oa:riskItemsCheck:getTaskProgress

授予获取风险项检查任务进度。

read

-

-

-

oa:riskItemsCheck:getTaskResult

授予获取风险项检查结果。

read

-

-

-

oa:riskItemsCheck:getTaskResultDimension

授予获取风险项检查结果维度。

read

-

-

-

oa:riskItemsCheck:listReportSubscriptions

授予获取风险项报告的订阅列表。

read

-

-

-

oa:riskItemsCheck:getReportSubscriptionRule

授予获取风险项报告的订阅规则。

read

-

-

-

oa:riskItemsCheck:updateReportSubscriptionRule

授予修改风险项报告的订阅规则。

write

-

-

-

oa:riskItemsCheck:getRiskItemNum

授予获取风险项个数。

read

-

-

-

oa:riskItemsCheck:exportCheckItemResult

授予导出风险检查报告。

read

-

-

-

oa:riskItemsCheck:getExportProgress

授予获取风险检查报告导出进度。

read

-

-

-

oa:riskItemsCheck:downloadCheckItemResult

授予下载风险检查报告。

read

-

-

-

oa:riskItemCheck:createTask

授予创建单个风险项检查任务。

write

-

-

-

oa:riskItemCheck:getTaskProgress

授予获取单个风险项检查任务进度。

read

-

-

-

oa:riskItemCheck:getTaskResult

授予获取单个风险项检查结果。

read

-

-

-

oa:riskItemCheck:listTaskResultRegions

授予获取单个风险项检查结果所属局点列表。

read

-

-

-

oa:riskItemsCheck:listCheckItems

授予获取检查项列表。

read

-

-

-

oa::saveWellArchitectedRecord

授予保存良好架构问卷。

write

-

-

oa:wellArchitected:saveRecord

oa::deleteWellArchitectedRecord

授予删除良好架构问卷。

write

-

-

oa:wellArchitected:deleteRecord

oa::listWellArchitectedRecord

授予查看良好架构问卷列表。

read

-

-

oa:wellArchitected:listRecord

oa::getWellArchitectedRecordDetail

授予获取良好架构问卷详情。

read

-

-

oa:wellArchitected:getRecordDetail

oa::generateWellArchitectedReport

授予生成良好架构报告。

write

-

-

oa:wellArchitected:generateReport

oa::getWellArchitectedReportDetail

授予查看良好架构报告详情。

read

-

-

oa:wellArchitected:getReportDetail

oa::listOrgAccounts

授予获取组织成员账号列表。

read

-

-

oa:riskItemsCheck:listOrgAccounts

oa:capacityAnalysis:getConfig

授予获取容量优化分析配置。

read

-

-

-

oa:capacityAnalysis:updateConfig

授予修改容量优化分析配置。

write

-

-

-

oa:capacityAnalysis:listResourceTypes

授予获取容量优化分析配置支持的资源类型列表。

read

-

-

-

oa:capacityAnalysis:listResources

授予获取容量优化分析配置关联的资源列表。

read

-

-

-

oa:capacityAnalysis:listResourceGroups

授予获取容量优化分析配置关联的资源分组列表。

read

-

-

-

oa:capacityAnalysis:createJob

授予创建容量优化分析任务。

write

-

-

-

oa:capacityAnalysis:getJobProgress

授予获取容量优化分析任务进度。

read

-

-

-

oa:capacityAnalysis:stopJob

授予停止容量优化分析任务。

write

-

-

-

oa:capacityAnalysis:getResultSummary

授予获取容量优化分析结果概要信息。

read

-

-

-

oa:capacityAnalysis:listResultDetails

授予获取容量优化分析结果详情列表。

read

-

-

-

oa:capacityAnalysis:deleteResultDetails

授予删除容量优化分析结果详情。

write

-

-

-

oa:capacityAnalysis:listReports

授予获取容量优化分析报告列表。

read

-

-

-

oa:capacityAnalysis:deleteReport

授予删除容量优化分析报告。

write

-

-

-

oa:capacityAnalysis:getReportExportProgress

授予获取容量优化分析报告导出进度。

read

-

-

-

oa:capacityAnalysis:downloadReport

授予下载容量优化分析报告。

read

-

-

-

oa:capacityAnalysis:exportReport

授予导出容量优化分析报告。

read

-

-

-

oa:capacityAnalysis:exportExpertReport

授予导出容量优化专家分析报告。

read

-

-

-

oa:applications:list

授予获取架构图列表。

read

-

-

-

oa:applications:get

授予获取架构图详情。

read

-

-

-

oa:applications:update

授予修改架构图基本信息。

write

-

-

-

oa:applications:delete

授予删除架构图。

write

-

-

-

oa:applications:updateView

授予修改架构图图元配置。

write

-

-

-

oa:applications:listServiceConfigs

授予获取架构图服务配置列表。

read

-

-

-

oa:applications:getResourceConfig

授予获取架构图资源解析配置。

read

-

-

-

oa:applications:updateRiskSwitchStatus

授予修改架构图风险数统计开关状态。

write

-

-

-

oa:applications:listRisks

授予获取架构图风险数。

read

-

-

-

oa:applications:listHistorys

授予获取架构图编辑历史列表。

read

-

-

-

oa:applications:getHistory

授予获取架构图编辑历史详情。

read

-

-

-

oa:applications:restoreHistory

授予恢复历史架构图。

write

-

-

-

oa:applications:deleteHistory

授予删除架构图编辑历史记录。

write

-

-

-

oa:applications:listRecycleApplications

授予获取回收站架构图列表。

read

-

-

-

oa::listSystemCesMetrics

授予获取CES指标列表。

read

-

-

oa:system:listCesMetrics

oa::listSystemCesMetricData

授予获取CES指标数据。

read

-

-

oa:system:listCesMetricData

oa::getSystemConfigItem

授予获取配置中心配置项。

read

-

-

oa:system:getConfigItem

oa:capacityAnalysis:listHistoryReports

授予获取容量优化历史分析记录列表。

read

-

-

-

oa:capacityAnalysis:listMetrics

授予获取容量优化风险资源的监控指标列表。

read

-

-

-

oa:capacityAnalysis:listMonitor

授予获取容量优化风险资源的监控数据列表。

read

-

-

-

oa::getAutoloadData

授予获取自助接入结果数据。

read

-

-

oa:system:getAutoloadData

oa:capacityAnalysis:listResultMonitorData

授予获取重保风险分析结果列表风险数据的监控数据。

read

-

-

-

oa:applications:getSummary

授予获取架构图概要信息。

read

-

-

-

oa:applications:listCapacityAnalysisSupportedServices

授予获取容量优化大屏支持服务列表。

read

-

-

-

oa:applications:listCapacityAnalysisResults

授予获取容量优化大屏分析结果列表。

read

-

-

-

oa:applications:startAutomaticDrawAnalysis

授予创建自动画图分析任务。

write

-

-

-

oa:applications:getAutomaticDrawAnalysisProgress

授予获取自动画图分析任务进度。

read

-

-

-

oa:applications:getAutomaticDrawAnalysisResult

授予获取自动画图分析任务结果。

read

-

-

-

oa:applications:getVpcFlowLogsDockingStatus

授予获取VPC流日志对接状态。

read

-

-

-

oa::listResourceGroups

授予获取资源分组列表。

read

-

-

oa:resourceGroups:list

oa::getResourceGroups

授予获取资源分组详情。

read

-

-

oa:resourceGroups:get

oa::updateResourceGroups

授予修改资源分组。

write

-

-

oa:resourceGroups:update

oa::deleteResourceGroups

授予删除资源分组。

write

-

-

oa:resourceGroups:delete

oa::listResourceGroupsRegions

授予获取资源分组局点列表。

read

-

-

oa:resourceGroups:listRegions

oa::listResourceGroupsResources

授予获取资源分组资源列表。

read

-

-

oa:resourceGroups:listResources

oa::listEnterpriseProjectResources

授予获取企业项目下的资源列表。

read

-

-

oa:resourceGroups:listEnterpriseProjectResources

oa::listServiceMetrics

授予获取云服务指标项列表。

read

-

-

oa:system:listServiceMetrics

oa::listAlarmMetrics

授予获取告警指标项列表。

read

-

-

oa:system:listAlarmMetrics

oa:applications:listServiceResources

授予获取架构设计云服务资源列表。

read

-

-

-

oa:applications:saveResourceGroup

授予保存架构设计资源分组。

write

-

-

-

oa::listResourceTypes

授予获取资源类型列表。

read

-

-

oa:system:listResourceTypes

oa::listAllResourceGroups

授予获取所有资源分组。

read

-

-

oa:resourceGroups:listAll

oa:applications:downloadResourceTemplate

授予架构设计下载资源导入模板。

read

-

-

oa:applications:downloadResourceTemplate

oa:applications:importResources

授予架构设计导入资源。

read

-

-

-

oa:applications:getResourcesImportResult

授予获取架构设计资源导入结果。

read

-

-

-

oa:applications:saveResourceGroupsBatch

授予架构设计批量保存资源分组。

write

-

-

-

oa:applications:getBatchSaveResourceGroupsResult

授予获取架构设计批量保存资源分组结果。

read

-

-

-

oa::downloadResourceTemplate

授予资源分组下载资源导入模板。

read

-

-

oa:resourceGroups:downloadResourceTemplate

oa::importResourceGroups

授予资源分组导入资源。

read

-

-

oa:resourceGroups:importResources

oa::getResourcesGroupsImportResult

授予获取资源分组资源导入结果。

read

-

-

oa:resourceGroups:getResourcesImportResult

oa:applications:startServiceRecommendAnalysis

授予开始服务推荐分析。

write

-

-

-

oa:applications:getServiceRecommendAnalysisResult

授予获取服务推荐分析结果。

read

-

-

-

oa:applications:listAttachedResources

授予展示架构图关联资源列表。

read

-

-

-

oa:applications:listNodeAttachedResources

授予展示图元对应的资源列表。

read

-

-

-

oa:applications:downloadAttachedResources

授予架构图资源导出。

write

-

-

-

oa::getAutoloadConfigs

授予获取翻译项。

read

-

-

oa:system:getAutoloadConfigs

oa::listRiskItemsCheckReportsV4

授予获取风险项报告列表。

read

-

-

oa:riskItemsCheck:listReportsV4

oa::getResources

授予获取自主接入资源数据。

read

-

-

oa:system:getAutoloadResources

oa:capacityAnalysis:getListMetrics

授予获取容量优化风险资源的监控指标列表。

read

-

-

-

oa:capacityAnalysis:getListMonitor

授予获取容量优化风险资源的监控数据列表。

read

-

-

-

oa:ignoredResourceConfig:create

授予新增忽略资源配置。

write

-

-

-

oa:ignoredResourceConfig:delete

授予删除忽略资源配置。

write

-

-

-

oa:ignoredResourceConfig:update

授予更新忽略资源配置。

write

-

-

-

oa:ignoredResourceConfig:enable

授予启用或停止忽略资源配置。

write

-

-

-

oa:ignoredResourceConfig:get

授予查询忽略资源配置的资源详情。

read

-

-

-

oa:ignoredResourceConfig:list

授予查询忽略资源配置。

read

-

-

-

oa:ignoredResourceConfig:listEnterpriseProjects

授予查询忽略资源配置的企业项目列表。

read

-

-

-

资源类型(Resource)

优化顾问不支持在身份策略中的资源中指定资源进行权限控制。如需允许访问优化顾问,请在身份策略的Resource元素中使用通配符号*,表示身份策略将应用到所有资源。

条件(Condition)

优化顾问不支持在身份策略中的条件键中配置服务级的条件键。优化顾问可以使用适用于所有服务的全局条件键,请参考全局条件键

父主题:管理与监管

相关文档