云运维中心 COC
云服务在IAM预置了常用授权项,称为系统身份策略。如果IAM系统身份策略无法满足授权要求,管理员可以根据各服务支持的授权项,创建IAM自定义身份策略来进行精细的访问控制,IAM自定义身份策略是对系统身份策略的扩展和补充。
除IAM服务外,Organizations服务中的服务控制策略(Service Control Policy,以下简称SCP)也可以使用这些授权项元素设置访问控制策略。
SCP不直接进行授权,只划定权限边界。将SCP绑定到组织单元或者成员账号时,并没有直接对组织单元或成员账号授予操作权限,而是规定了成员账号或组织单元包含的成员账号的授权范围。IAM身份策略授予权限的有效性受SCP限制,只有在SCP允许范围内的权限才能生效。
IAM服务与Organizations服务在使用这些元素进行访问控制时,存在着一些区别,详情请参见:IAM服务与Organizations服务权限访问控制的区别。
本章节介绍IAM服务身份策略授权场景中自定义身份策略和组织服务中SCP使用的元素,这些元素包含了操作(Action)、资源(Resource)和条件(Condition)。
操作(Action)
操作(Action)即为身份策略中支持的授权项。
- “访问级别”列描述如何对操作进行分类(List、Read和Write等)。此分类可帮助您了解在身份策略中相应操作对应的访问级别。
- “资源类型”列指每个操作是否支持资源级权限。
- 资源类型支持通配符号*表示所有。如果此列没有值(-),则必须在身份策略语句的Resource元素中指定所有资源类型(“*”)。
- 如果该列包含资源类型,则必须在具有该操作的语句中指定该资源的URN。
- 资源类型列中必需资源在表中用星号(*)标识,表示使用此操作必须指定该资源类型。
关于COC定义的资源类型的详细信息请参见资源类型(Resource)。
- “条件键”列包括了可以在身份策略语句的Condition元素中支持指定的键值。
- 如果该授权项资源类型列存在值,则表示条件键仅对列举的资源类型生效。
- 如果该授权项资源类型列没有值(-),则表示条件键对整个授权项生效。
- 如果此列条件键没有值(-),表示此操作不支持指定条件键。
关于COC定义的条件键的详细信息请参见条件(Condition)。
- “别名”列包括了可以在身份策略中配置的策略授权项。通过这些授权项,可以控制支持策略授权的API访问。详细信息请参见身份策略兼容性说明。
您可以在身份策略语句的Action元素中指定以下COC的相关操作。
授权项 | 描述 | 访问级别 | 资源类型(*为必须) | 条件键 | 别名 |
|---|---|---|---|---|---|
coc:application:list | 授予权限以查询应用列表 | List | application * | - | - |
coc:application:create | 授予创建应用的权限 | Write | application * | - | - |
coc:application:update | 授予修改应用的权限 | Write | application * | - | - |
coc:application:delete | 授予删除应用的权限 | Write | application * | - | - |
coc:application:createGroup | 授予创建应用分组的权限 | Write | application * | - | - |
coc:application:listGroups | 授予查询指定应用分组列表的权限 | List | application * | - | - |
coc:application:updateGroup | 授予修改应用分组的权限 | Write | application * | - | - |
coc:application:deleteGroup | 授予删除应用分组的权限 | Write | application * | - | - |
coc:application:syncGroupResource | 授予同步应用分组资源的权限 | Write | application * | - | - |
coc:application:updateResources | 授予修改应用资源的权限 | Write | application * | - | - |
coc:application:addResources | 授予为应用添加资源的权限 | Write | application * | - | - |
coc:application:removeResources | 授予移除应用资源的权限 | Write | application * | - | - |
coc:application:listResources | 授予查询应用资源列表的权限 | List | application * | - | - |
- | |||||
coc:application:countResourceRelations | 授予查询资源关系数量的权限 | List | application * | - | - |
coc:application:getCapacity | 授予查询应用中的资源容量的权限 | List | application * | - | - |
coc:application:getSortedCapacity | 授予查询应用中有序的资源容量的权限 | List | application * | - | - |
coc:application:listModel | 授予查询应用模型的权限 | List | application * | - | - |
coc:vendorAccount:create | 授予新增云厂商账户的权限 | Write | - | - | - |
coc:vendorAccount:list | 授予查询云厂商账户的权限 | List | - | - | - |
coc:vendorAccount:update | 授予修改云厂商账户的权限 | Write | - | - | - |
coc:vendorAccount:delete | 授予删除云厂商账户的权限 | Write | - | - | - |
coc:resourceView:list | 授予查询资源视图的权限 | List | - | - | - |
coc:resourceView:create | 授予创建资源视图的权限 | Write | resourceView * | - | - |
coc:resourceView:update | 授予更新资源视图的权限 | Write | resourceView * | - | - |
coc:resourceView:delete | 授予删除资源视图的权限 | Write | resourceView * | - | - |
coc:resourceView:syncResources | 授予同步某个具体资源视图下的资源列表的权限 | Write | resourceView * | - | - |
coc:resourceView:listResources | 授予查询某个具体资源视图下的资源列表的权限 | List | resourceView * | - | - |
coc:resourceView:countResources | 授予查询某个具体资源视图中资源数量的权限 | List | - | - | - |
coc:instance:listResources | 授予查询资源列表的权限 | List | - | - | - |
coc:instance:syncResources | 授予同步资源列表的权限 | Write | - | - | - |
coc:instance:countOtherResources | 授予查询离线资源(如物理机、中间件等)总数的权限 | List | - | - | - |
coc:instance:listTagsForResource | 授予查询资源标签的权限 | List | - | - | coc:instance:listResourceTags |
coc:instance:addResourceToTags | 授予添加资源标签的权限 | Write | - | - | coc:instance:createResourceTags |
coc:instance:countResources | 授予查询资源总数的权限 | List | - | - | - |
coc::listEpsCollection | 授予查询企业项目收藏的权限 | List | - | - | coc:enterpriseProject:listCollect |
coc::updateEpsCollection | 授予修改企业项目收藏的权限 | Write | - | - | coc:enterpriseProject:updateCollect |
coc::getLastSyncStatus | 授予查询实例最新同步状态的权限 | Read | - | - | coc:system:getLastSyncStatus |
coc::getResourceSyncJobDetail | 授予查询资源同步任务详情的权限 | Read | - | - | coc:system:getResourceSyncJobDetail |
coc:schedule:create | 授予创建定时任务的权限。 | Write | schedule | - | |
instance | |||||
document | |||||
- | |||||
coc:schedule:list | 授予查询定时任务列表的权限。 | List | - | - | |
coc:schedule:update | 授予更新定时任务的权限。 | Write | schedule * | - | |
instance | |||||
document | |||||
coc:schedule:get | 授予查询定时任务详情的权限。 | Read | schedule * | - | - |
- | |||||
coc:schedule:delete | 授予删除定时任务的权限。 | Write | schedule * | - | |
coc:schedule:enable | 授予启用定时任务的权限。 | Write | schedule * | - | |
- | |||||
coc:schedule:disable | 授予禁用定时任务的权限。 | Write | schedule* | - | |
coc:schedule:getHistories | 授予查询定时任务执行历史的权限。 | Read | schedule* | - | |
coc:instance:executeDocument | 授予在弹性云服务器上执行文档的权限 | Write | instance * | - | |
document * | |||||
coc:alarm:clear | 授予清除告警的权限 | Write | - | - | - |
coc:alarm:createAlarmLinkedIncident | 授予创建告警关联事件的权限 | Write | - | - | - |
coc:alarm:listHandleHistories | 授予查询告警处理历史列表的权限 | List | - | - | - |
coc:alarm:get | 授予查询告警信息的权限 | Read | - | - | - |
coc:ticket:list | 授予查询事件单列表的权限 | List | - | - | - |
coc:ticket:create | 授予创建事件单的权限 | Write | - | - | - |
coc:ticket:get | 授予查询事件单详情的权限 | Read | - | - | - |
coc:ticket:action | 授予处理事件单的权限 | Write | - | - | - |
coc:ticket:delete | 授予删除事件单的权限 | Write | - | - | - |
coc:ticket:uploadFile | 授予为事件单上传附件的权限 | Write | - | - | - |
coc:ticket:downloadFile | 授予为事件单下载附件的权限 | Read | - | - | - |
coc:ticket:listAuthorizable | 授予查询可授权单的权限 | List | - | - | - |
coc:warroom:create | 授予创建warroom的权限 | Write | - | - | - |
coc:ticket:update | 授予修改事件单的权限 | Write | - | - | - |
coc:ticket:getOperationHistories | 授予查询事件单操作历史的权限 | List | - | - | - |
coc:ticket:listActions | 授予查询可以执行操作列表的权限 | List | - | - | - |
coc:warroom:list | 授予查询warroom列表的权限 | List | - | - | - |
coc:document:analyzeRisk | 授予分析文档风险的权限。 | Read | - | - | - |
coc:document:get | 授予查看文档内容的权限。 | Read | - | - | - |
coc:document:getDocument | 授予查询文档详情权限。 | Read | document * | - | - |
coc:document:create | 授予创建文档的权限。 | Write | document * | - | - |
coc:document:createDocument | 授予创建文档权限。 | Write | document * | - | - |
coc:document:delete | 授予删除文档的权限。 | Write | document * | - | - |
coc:document:deleteDocument | 授予删除文档权限。 | Write | document * | - | - |
coc:document:execute | 授予执行文档权限。 | Write | document * | - | - |
coc:document:update | 授予修改文档的权限。 | Write | document * | - | - |
coc:document:updateDocument | 授予更新文档权限。 | Write | document * | - | - |
coc:document:list | 授予查询文档列表的权限。 | List | document * | - | - |
coc:document:listDocument | 授予查询文档列表权限。 | List | - | - | - |
coc:quota:get | 授予查询配额的权限。 | Read | - | - | - |
coc:job:get | 授予查询工单详情的权限。 | Read | job * | - | - |
- | |||||
coc:job:action | 授予操作工单的权限。 | Write | job * | - | - |
- | |||||
coc:job:list | 授予查询工单列表的权限。 | List - | job * | - | - |
- | |||||
coc:instance:autoBatchInstances | 授予为实例自动化分批的权限。 | Write | - | - | - |
coc:documentAtomic:list | 授予查询文档原子能力列表权限。 | List | - | - | - |
coc:documentAtomic:get | 授予查询文档原子能力详情权限。 | Read | - | - | - |
coc:execution:get | 授予查询执行工单详情权限。 | Read | - | - | - |
coc:execution:listExecutionStep | 授予查询执行工单步骤列表权限。 | Read | - | - | - |
coc:execution:list | 授予查询执行工单列表权限。 | List | - | - | - |
coc:execution:listExecutionStepInstance | 授予查询执行工单步骤列表权限。 | Read | - | - | - |
coc:execution:operate | 授予操作执行工单。 | Write | - | - | - |
coc:complianceReport:list | 授予查询合规性报告列表权限。 | List | - | - | - |
coc:complianceReport:get | 授予查询合规性报告详情的权限。 | Read | - | - | - |
coc:task:list | 授予查询运维事务列表的权限。 | List | - | - | - |
coc:task:count | 授予查询运维事务数量的权限。 | Read | - | - | - |
coc:task:create | 授予创建运维事务的权限。 | Write | - | - | - |
coc:task:get | 授予查询运维事务详情的权限。 | Read | - | - | - |
coc:task:accept | 授予受理运维事务的权限。 | Write | - | - | - |
coc:task:complete | 授予结束运维事务的权限。 | Write | - | - | - |
coc:task:cancel | 授予取消运维事务的权限。 | Write | - | - | - |
coc:tag:create | 授予创建标签的权限。 | Tagging | - | - | - |
coc:tag:list | 授予查询标签列表的权限。 | List | - | - | - |
coc:instance:reinstallOS | 授予重装弹性云服务器操作系统的权限。 | Write | instance | - | |
- | |||||
coc:instance:changeOS | 授予切换弹性云服务器操作系统的权限。 | Write | instance | - | |
- | |||||
coc:instance:scanOSCompliance | 授予服务器操作系统补丁扫描的权限。 | Read | instance * | - | |
coc:instance:installPatches | 授予为弹性云服务器安装补丁的权限。 | Write | instance * | - | |
coc::listSSHKeypairs | 授予查询SSH秘钥列表的权限。 | List | - | - | coc:system:listSSHKeypair |
coc:personnel:list | 授予查询人员列表的权限。 | List | - | - | - |
coc:personnel:add | 授予添加人员的权限。 | Write | - | - | - |
coc:personnel:update | 授予更新人员信息的权限。 | Write | - | - | - |
coc:personnel:remove | 授予移除人员的权限。 | Write | - | - | - |
coc:patchBaseline:create | 授予创建补丁基线的权限。 | Write | - | - | - |
coc:patchBaseline:list | 授予查询补丁基线列表的权限。 | List | - | - | - |
coc:patchBaseline:get | 授予查询补丁基线详情的权限。 | Read | - | - | - |
coc:patchBaseline:opsSystemGet | 授予获取操作系统基线。 | Read | - | - | - |
coc:patchBaseline:updateCustomBaseline | 授予更新自定义基线补丁。 | Write | - | - | - |
coc:patchBaseline:delete | 授予删除补丁基线的权限。 | Write | - | - | - |
coc:patchBaseline:update | 授予更新补丁基线的权限。 | Write | - | - | - |
coc:patchBaseline:registerDefault | 授予设置默认补丁基线的权限。 | Write | - | - | - |
coc:patchBaseline:getDefault | 授予查询默认补丁基线的权限。 | Read | - | - | - |
coc:document:listRunbookAtomics | 授予查询自定义作业原子能力列表的权限。 | List | - | - | - |
coc:document:getRunbookAtomicDetails | 授予查询自定义作业原子能力详情的权限。 | Read | - | - | - |
coc:biStatistic:list | 授予查询bi指标结果的权限。 | Read | - | - | - |
coc:integration:list | 授予查询集成配置列表的权限。 | List | - | - | - |
coc:integration:get | 授予查询集成配置详情的权限。 | Read | - | - | - |
coc:integration:update | 授予修改集成配置的权限。 | Write | - | - | - |
coc:integration:access | 授予接入集成配置的权限。 | Write | - | - | - |
coc:integration:enable | 授予启用集成配置的权限。 | Write | - | - | - |
coc:integration:disable | 授予停用集成配置的权限。 | Write | - | - | - |
coc:integration:remove | 授予移除集成配置的权限。 | Write | - | - | - |
coc:integration:getHistory | 授予查询集成配置历史事件消息的权限。 | Read | - | - | - |
coc:ticket:getEnumTypes | 授予查询事件单枚举类型详情的权限。 | Read | - | - | - |
coc:ticket:listEnumTypes | 授予查询事件单枚举类型列表的权限。 | List | - | - | - |
coc:ticket:listEnumValues | 授予查询事件单枚举值列表的权限。 | List | - | - | - |
coc:ticket:getEnumValues | 授予查询事件单枚举值详情的权限。 | Read | - | - | - |
coc:oncall:listScenes | 授予查看oncall排班场景的权限。 | List | - | - | - |
coc:oncall:createScene | 授予创建oncall排班场景的权限。 | Write | - | - | - |
coc:oncall:updateScene | 授予更新oncall排班场景的权限。 | Write | - | - | - |
coc:oncall:deleteScene | 授予删除oncall排班场景的权限。 | Write | - | - | - |
coc:oncall:listRoles | 授予查询oncall排班角色的权限。 | List | - | - | - |
coc:oncall:createRole | 授予创建oncall排班角色的权限。 | Write | - | - | - |
coc:oncall:updateRole | 授予更新oncall排班角色的权限。 | Write | - | - | - |
coc:oncall:deleteRole | 授予删除oncall排班角色的权限。 | Write | - | - | - |
coc:oncall:listPersonnels | 授予查询oncall排班人员列表的权限。 | List | - | - | - |
coc:oncall:updatePersonnels | 授予更新oncall排班人员的权限。 | Write | - | - | - |
coc:oncall:addPersonnels | 授予添加oncall排班人员的权限。 | Write | - | - | - |
coc:oncall:removePersonnels | 授予移除oncall排班人员的权限。 | Write | - | - | - |
coc:region:list | 授予查询region列表的权限。 | List | - | - | - |
coc:site:list | 授予查询局点列表的权限。 | List | - | - | - |
coc:customApplication:list | 授予查询自定义应用列表的权限。 | List | - | - | - |
coc:customApplication:get | 授予查询自定义应用详情的权限。 | Read | - | - | - |
coc:notificationRule:list | 授予查询通知规则列表的权限。 | List | - | - | - |
coc:notificationRule:get | 授予查询通知规则详情的权限。 | Read | - | - | - |
coc:notificationRule:create | 授予创建通知规则的权限。 | Write | - | - | - |
coc:notificationRule:update | 授予更新通知规则的权限。 | Write | - | - | - |
coc:notificationRule:delete | 授予删除通知规则的权限。 | Write | - | - | - |
coc:notificationRule:enable | 授予启用通知规则的权限。 | Write | - | - | - |
coc:notificationRule:disable | 授予停用通知规则的权限。 | Write | - | - | - |
coc:notificationRule:confirm | 授予确认通知规则的权限。 | Write | - | - | - |
coc:notification:listTypes | 授予查询通知类型的权限。 | List | - | - | - |
coc:notification:listModes | 授予查询通知方式的权限。 | List | - | - | - |
coc:notification:listTemplates | 授予查询通知模板列表的权限。 | List | - | - | - |
coc:transferRule:list | 授予查询转换规则列表的权限。 | List | - | - | - |
coc:transferRule:create | 授予创建转换规则的权限。 | Write | - | - | - |
coc:transferRule:get | 授予查询转换规则详情的权限。 | Read | - | - | - |
coc:transferRule:update | 授予更新转换规则的权限。 | Write | - | - | - |
coc:transferRule:delete | 授予删除转换规则的权限。 | Write | - | - | - |
coc:transferRule:enable | 授予启用转换规则的权限。 | Write | - | - | - |
coc:transferRule:getHistory | 授予查询流转最近事件消息的权限。 | Read | - | - | - |
coc:transferRule:disable | 授予停用转换规则的权限。 | Write | - | - | - |
coc:warroomMeetingRule:create | 授予创建warroom起会规则的权限。 | Write | - | - | - |
coc:warroomMeetingRule:update | 授予更新warroom起会规则的权限。 | Write | - | - | - |
coc:warroomMeetingRule:delete | 授予删除warroom起会规则的权限。 | Write | - | - | - |
coc:warroomMeetingRule:list | 授予查询warroom起会规则列表的权限。 | List | - | - | - |
coc:warroomMeetingRule:get | 授予查询warroom起会规则的权限。 | Read | - | - | - |
coc:warroom:delete | 授予删除warroom的权限。 | Write | - | - | - |
coc:warroom:getOperationHistory | 授予查询warroom操作历史的权限。 | Read | - | - | - |
coc:warroom:addAffectedApplications | 授予在warroom中添加受影响应用的权限。 | Write | - | - | - |
coc:warroom:updateAffectedApplications | 授予在warroom中更新受影响应用的权限。 | Write | - | - | - |
coc:warroom:removeAffectedApplications | 授予在warroom中移除受影响应用的权限。 | Write | - | - | - |
coc:warroom:listAffectedApplications | 授予查询warroom受影响应用列表的权限。 | List | - | - | - |
coc:warroom:listConfigurations | 授予查询warroom公共枚举配置的权限。 | List | - | - | - |
coc:warroom:get | 授予查询warroom详情的权限。 | Read | - | - | - |
coc:warroom:modifyBasicInformation | 授予修改warroom基本信息的权限。 | Write | - | - | - |
coc:warroom:sendNotification | 授予在warroom中更新/发送通告的权限。 | Write | - | - | - |
coc:warroom:sendNotificationBriefing | 授予在warroom中发送通知简报的权限。 | Write | - | - | - |
coc:warroom:addPersonnels | 授予在warroom中添加人员的权限。 | Write | - | - | - |
coc:warroom:removePersonnels | 授予在warroom中移除人员的权限。 | Write | - | - | - |
coc:warroom:listRoles | 授予查询warroom角色列表的权限。 | List | - | - | - |
coc:warroom:addRolePersonnels | 授予在warroom中添加角色用户的权限。 | Write | - | - | - |
coc:warroom:listNotificationTemplates | 授予查询warroom通告模板列表的权限。 | List | - | - | - |
coc:warroom:listMeetings | 授予查询warroom会议列表的权限。 | List | - | - | - |
coc:schedule:count | 授予查询定时任务数量的权限。 | Read | schedule * | - | - |
coc:schedule:approve | 授予审批定时任务的权限。 | Write | schedule * | - | |
coc:instance:stop | 授予关闭云服务器的权限。 | Write | instance | - | |
- | |||||
coc:instance:start | 授予启动云服务器的权限。 | Write | instance | - | |
- | |||||
coc:instance:reboot | 授予重启云服务器的权限。 | Write | instance | - | |
- | |||||
coc:appkey:create | 授予创建移动应用密钥的权限。 | Write | - | - | - |
coc:appkey:delete | 授予删除移动应用密钥的权限。 | Write | - | - | - |
coc:appkey:get | 授予查看移动应用密钥的权限。 | Read | - | - | - |
coc:appkey:update | 授予更新移动应用密钥的权限。 | Write | - | - | - |
coc:faultMode:create | 授予创建故障模式的权限。 | Write | faultMode * | - | - |
coc:faultMode:update | 授予更新故障模式的权限。 | Write | faultMode * | - | |
coc:faultMode:get | 授予查询指定故障模式详情的权限。 | Read | faultMode * | - | |
coc:faultMode:delete | 授予删除故障模式的权限。 | Write | faultMode * | - | |
coc:faultMode:list | 授予查询故障模式列表的权限。 | List | faultMode * | - | - |
coc:application:CreateResourceTopo | 授予创建应用资源拓扑的权限。 | Write | application * | - | - |
coc:application:GetResourceTopo | 授予查看应用资源拓扑的权限。 | Read | application * | - | - |
coc:application:CreateDiagnosisTask | 授予创建应用资源诊断的权限。 | Write | application * | - | - |
coc:application:GetDiagnosisTaskDetails | 授予查询应用资源诊断任务的权限。 | Read | application * | - | - |
coc:contingencyPlan:create | 授予创建应急预案的权限。 | Write | contingencyPlan * | - | - |
coc:contingencyPlan:get | 授予查询应急预案详情的权限。 | Read | contingencyPlan * | - | |
coc:contingencyPlan:update | 授予修改应急预案的权限。 | Write | contingencyPlan * | - | |
coc:contingencyPlan:delete | 授予删除应急预案的权限。 | Write | contingencyPlan * | - | |
coc:contingencyPlan:list | 授予查询应急预案列表的权限。 | List | contingencyPlan * | - | - |
coc:contingencyPlan:uploadFile | 授予为应急预案上传附件的权限。 | Write | - | - | - |
coc:contingencyPlan:downloadFile | 授予从应急预案下载附件的权限。 | Read | contingencyPlan * | - | |
coc:attackTask:create | 授予创建攻击任务的权限。 | Write | attackTask * | - | |
coc:attackTask:get | 授予查看攻击任务详情的权限。 | Read | attackTask * | - | |
coc:attackTask:list | 授予查看攻击任务列表的权限。 | List | attackTask * | - | - |
coc:attackTask:deleteRelatedRecords | 授予删除攻击任务相关记录的权限。 | Write | attackTask * | - | - |
coc:attackRecord:list | 授予查看攻击记录列表的权限。 | List | attackRecord * | - | - |
coc:attackTargetRecord:list | 授予查看攻击目标的执行记录列表的权限。 | List | attackTargetRecord * | - | - |
coc:attackTargetRecord:operate | 授予对攻击目标执行记录进行重试的权限。 | Write | attackTargetRecord * | - | |
coc:drillTask:create | 授予创建演练任务的权限。 | Write | drillTask * | - | |
coc:drillTask:update | 授予修改演练任务的权限。 | Write | drillTask * | - | |
coc:drillTask:list | 授予查看演练任务列表的权限。 | List | drillTask * | - | - |
coc:drillTask:get | 授予查询演练任务详情的权限。 | Read | drillTask * | - | |
coc:drillTask:delete | 授予删除演练任务的权限。 | Write | drillTask * | - | |
coc:drillTask:deleteRelatedRecords | 授予删除演练任务相关记录的权限。 | Write | drillTask * | - | - |
coc:drillRecord:create | 授予启动演练的权限。 | Write | drillRecord * | - | |
- | |||||
coc:drillRecord:get | 授予查询演练记录详情的权限。 | Read | drillRecord * | - | |
coc:drillReport:create | 授予创建演练报告的权限。 | Write | - | - | - |
coc:drillReport:update | 授予更新演练报告的权限。 | Write | - | - | - |
coc:drillReport:get | 授予查询演练报告详情的权限。 | Read | - | - | - |
coc:improvementTask:create | 授予创建改进事项的权限。 | Write | - | - | - |
coc:improvementTask:update | 授予处理改进事项的权限。 | Write | - | - | - |
coc:improvementTask:list | 授予查询改进事项列表的权限。 | List | - | - | - |
coc:improvementTask:get | 授予查询改进事项详情的权限。 | Read | - | - | - |
coc:drillPlan:create | 授予创建演练规划的权限。 | Write | - | - | - |
coc:drillPlan:update | 授予更新演练规划的权限。 | Write | drillPlan * | - | |
coc:drillPlan:get | 授予查询指定演练规划详情的权限。 | Read | drillPlan * | - | |
coc:drillPlan:list | 授予查询演练规划列表的权限。 | List | - | - | - |
coc:drillPlan:listDelay | 授予查询演练规划延期列表的权限。 | List | - | - | - |
coc:drillPlan:countStatus | 授予查询指定演练规划状态数量的权限。 | Read | - | - | - |
coc:drillPlan:countDelay | 授予查询指定演练规划延期数量的权限。 | Read | - | - | - |
coc:attackTarget:listCceNamespaces | 授予查询cce类型的攻击目标的命名空间列表的权限。 | List | - | - | - |
coc:attackTarget:listCceWorkloads | 授予查询cce类型的攻击目标的工作负载列表的权限。 | List | - | - | - |
coc:attackTarget:listCcePods | 授予查询cce类型的攻击目标的pods列表的权限。 | List | - | - | - |
coc:monitorMetric:list | 授予查询监控指标列表的权限。 | List | - | - | - |
coc:monitorMetricRecord:list | 授予查询监控指标数据列表的权限。 | List | - | - | - |
coc:attackRecord:changeMetricType | 授予修改某个攻击记录下指标类型的权限。 | Write | attackRecord * | - | - |
coc:prrTemplate:create | 授予创建prr模板的权限。 | Write | - | - | - |
coc:prrTemplate:update | 授予修改prr模板的权限。 | Write | - | - | - |
coc:prrTemplate:list | 授予查看prr模板列表的权限。 | List | - | - | - |
coc:prrTemplate:get | 授予查询prr模板详情的权限。 | Read | - | - | - |
coc:prrTemplate:delete | 授予删除prr模板的权限。 | Write | - | - | - |
coc::listPrrCheckItem | 授予查看prr检查项列表的权限。 | List | - | - | coc:prrCheckItem:list |
coc:prrReview:create | 授予发起prr评审的权限。 | Write | - | - | - |
coc:prrReview:update | 授予继续发起prr评审的权限。 | Write | - | - | - |
coc:prrReview:list | 授予查看prr评审列表的权限。 | List | - | - | - |
coc:prrReview:get | 授予查询prr评审详情的权限。 | Read | - | - | - |
coc:prrReview:recordSummary | 授予录入prr评审纪要的权限。 | Write | - | - | - |
coc:prrReview:auditResult | 授予录入prr审核结论的权限。 | Write | - | - | - |
coc:prrReview:delete | 授予撤销prr评审的权限。 | Write | - | - | - |
coc:prrReview:addImprovementTask | 授予添加PRR改进事项的权限。 | Write | - | - | - |
coc:instance:listAlarms | 授予查询全部资源的告警列表的权限。 | List | - | - | - |
coc:instance:getAlarms | 授予查看某个资源的告警列表的权限。 | Read | - | - | - |
coc:alarm:list | 授予查询告警列表的权限。 | List | - | - | - |
coc:alarm:count | 授予查询告警数量的权限。 | Read | - | - | - |
coc:slaTemplate:list | 授予查询sla模板列表的权限。 | List | slaTemplate * | - | - |
coc:slaTemplate:get | 授予查询sla模板详情的权限。 | Read | slaTemplate * | - | - |
coc:slaTemplate:create | 授予创建sla模板的权限。 | Write | slaTemplate * | - | - |
coc:slaTemplate:delete | 授予删除sla模板的权限。 | Write | slaTemplate * | - | - |
coc:slaTemplate:enable | 授予启用sla模板的权限。 | Write | slaTemplate * | - | - |
coc:slaTemplate:disable | 授予禁用sla模板的权限。 | Write | slaTemplate * | - | - |
coc:slaTemplate:update | 授予修改sla模板的权限。 | Write | slaTemplate * | - | - |
coc:slaRecord:list | 授予查询sla工单列表的权限。 | List | - | - | - |
coc:slaRecord:get | 授予查询sla工单详情的权限。 | Read | - | - | - |
coc:customDashboard:get | 授予查询自定义看板的权限。 | Read | - | - | - |
coc:customDashboard:update | 授予修改自定义看板的权限。 | Write | - | - | - |
coc:agency:get | 授予查询租户下的委托信息。 | Read | - | - | - |
coc:agency:create | 授予创建租户委托的权限。 | Write | - | - | - |
coc:parameter:create | 授予创建参数的权限。 | Write | parameter * | - | |
coc:parameter:update | 授予更新参数的权限。 | Write | parameter * | - | |
coc:parameter:get | 授予查询参数详情的权限。 | Read | parameter * | - | |
coc:parameter:delete | 授予删除参数的权限。 | Write | parameter * | - | |
coc:parameter:list | 授予查询参数列表的权限。 | List | parameter * | - | |
coc:accountBaseline:create | 授予创建账号基线的权限。 | Write | accountBaseline * | - | |
coc:accountBaseline:list | 授予查询账号基线列表的权限。 | List | accountBaseline * | - | - |
coc:accountBaseline:listAccountList | 授予查询基线内的账号列表的权限。 | List | accountBaseline * | - | - |
coc:accountBaseline:deleteAccount | 授予删除基线中的账号的权限。 | Write | accountBaseline * | - | - |
coc:accountBaseline:update | 授予修改账号基线的权限。 | Write | accountBaseline * | - | |
coc:accountBaseline:delete | 授予删除账号基线的权限。 | Write | accountBaseline * | - | - |
coc:instance:getAccount | 授予查询主机上已纳管的账号列表的权限。 | List | instance | - | - |
coc:instance:syncAccount | 授予同步主机上的账号的权限。 | Write | instance * | - | |
coc:instance:resetPassword | 授予重置主机账号密码的权限。 | Write | instance | - | |
coc:instance:resetAccountPassword | 授予重置主机账号密码的权限。 | Write | instance | - | |
coc:instance:createPasswordChangePlan | 授予创建改密计划的权限。 | Write | instance | - | |
coc:instance:updateAccountPassword | 授予回写改密结果的权限。 | Write | instance | - | |
coc:instance:addAccount | 授予导入主机上的账号的权限。 | Write | instance | - | |
coc:instance:getAccountPassword | 授予查询主机的账号密码的权限。 | Read | instance | - | |
- | |||||
coc:instance:getHistoricalPassword | 授予查询主机账号历史密码的权限。 | Read | instance | - | |
- | |||||
coc:instance:getPasswordChangeRecords | 授予查询主机账号改密记录的权限。 | Read | instance | - | |
coc::getAccountManagedStatus | 授予查询纳管步骤状态的权限。 | Read | - | - | coc:account:getManagedStatus |
coc::addAutoManagementRelations | 授予按组件粒度开启自动纳管的权限。 | Write | - | - | coc:accountAutoManagement:addRelations |
coc::getAutoManagementRelations | 授予查询已开启自动纳管的组件信息的权限。 | List | - | - | coc:accountAutoManagement:getRelations |
coc::deleteAutoManagementRelations | 授予按组件粒度关闭自动纳管的权限。 | Write | - | - | coc:accountAutoManagement:deleteRelations |
coc::getAutoManagementStatus | 授予查询自动纳管的开启状态的权限。 | Read | - | - | coc:accountAutoManagement:getStatus |
coc::updateAutoManagementStatus | 授予更新自动纳管的状态的权限。 | Write | - | - | coc:accountAutoManagement:updateStatus |
coc::addEncryptionKey | 授予添加加密密钥的权限。 | Write | - | - | coc:accountEncryptionKey:add |
coc::listDEWKeys | 授予查询已拥有的DEW密钥的权限。 | List | - | - | coc:accountEncryptionKey:listDEWKeys |
coc::listEncryptionKey | 授予查询已添加的DEW密钥的权限。 | List | - | - | coc:accountEncryptionKey:list |
coc::enablePasswordChangePolicy | 授予启用改密策略的权限。 | Write | - | coc:accountPasswordChangePolicy:enable | |
coc::getPasswordChangePolicy | 授予查询已开启的改密策略的权限。 | List | - | - | coc:accountPasswordChangePolicy:get |
coc:incident:create | 授予COC创建事件单权限。 | Write | - | - | - |
coc:incident:handle | 授予COC处理事件单权限。 | Write | - | - | - |
coc:incident:detail | 授予COC获取事件单详细权限。 | Read | - | - | - |
coc:session:start | 授予免密登录ECS实例的权限。 | Write | instance | - | |
- | |||||
coc::disablePasswordChangePolicy | 授予禁用改密策略的权限。 | Write | - | - | coc:accountPasswordChangePolicy:disable |
coc::createOrders | 授予创建coc订单的权限。 | Write | - | - | coc:orders:create |
coc::changeOrders | 授予更新coc订单的权限。 | Write | - | - | coc:orders:change |
coc::listQuotas | 授予查询已购买配额列表的权限。 | List | - | - | coc:quotas:list |
coc:alarm:put | 授予上报COC告警的权限。 | Write | - | - | - |
coc:application:AddComponentInvokingRelationships | 授予创建组件关系的权限。 | Write | application * | - | - |
coc:application:RemoveComponentInvokingRelationships | 授予删除组件连线的权限。 | Write | application * | - | - |
coc:application:ListComponentInvokingRelationships | 授予查看组件连线的权限。 | Read | application * | - | - |
coc:instance:updateResources | 授予更新资源信息的权限。 | Write | - | - | - |
coc:instance:restartRDSInstance | 授予重启RDS实例的权限。 | Write | instance | - | |
- | |||||
coc:instance:startRDSInstance | 授予启用RDS实例的权限。 | Write | instance | - | |
- | |||||
coc:instance:stopRDSInstance | 授予停止RDS实例的权限。 | Write | instance | - | |
- | |||||
coc:systemConfig:create | 授予新建系统配置的权限。 | Write | - | - | - |
coc:systemConfig:list | 授予查询系统配置列表的权限。 | List | - | - | - |
coc:systemConfig:update | 授予更新系统配置的权限。 | Write | - | - | - |
coc:systemConfig:get | 授予展示系统配置的权限。 | Read | - | - | - |
coc:hostAccount:add | 授予添加托管账号。 | Write | - | - | - |
coc:hostAccount:list | 授予托管sre账号查询托管账号。 | List | - | - | - |
coc:hostAccount:update | 授予托管sre账号编辑托管账号。 | Write | - | - | - |
coc:hostAccount:delete | 授予托管sre账号刪除托管账号。 | Write | - | - | - |
coc:hostAccount:describe | 授予账号自己的托管服务账号的信息。 | Read | - | - | - |
coc:hostAccount:enable | 授予账号开通托管服务。 | Write | - | - | - |
coc:hostAccount:disable | 授予账号取消托管服务。 | Write | - | - | - |
coc:slo:list | 授予查询Slo列表的权限。 | List | - | - | - |
coc:slo:createSloTarget | 授予创建SLO目标的权限。 | Write | - | - | - |
coc:slo:deleteSloTarget | 授予删除SLO目标的权限。 | Write | - | - | - |
coc:slo:updateSloTarget | 授予更新SLO目标的权限。 | Write | - | - | - |
coc:slo:getSloDetail | 授予查询SLO目标的权限。 | Read | - | - | - |
coc:slo:listSli | 授予查询Sli列表的权限。 | List | - | - | - |
coc:slo:configureSli | 授予更新Sli列表的权限。 | Write | - | - | - |
coc:slo:createInterruptRecords | 授予创建SLO中断记录的权限。 | Write | - | - | - |
coc:slo:listInterruptRecords | 授予查询SLO中断记录的权限。 | List | - | - | - |
coc:slo:updateInterruptRecords | 授予更新SLO中断记录的权限。 | Write | - | - | - |
coc:slo:listInterruptRecordsChangeHistory | 授予查询SLO中断记录的修改历史列表的权限。 | List | - | - | - |
coc:crossAccounts:authorize | 授予授权跨账号管理的权限。 | Write | - | - | - |
coc:crossAccounts:listCrossAccounts | 授予查询跨账号管理的自己账号的信息的权限。 | List | - | - | - |
coc:alarmRule:list | 授予查询告警规则的权限。 | List | - | - | - |
coc:alarmRule:sync | 授予同步告警规则的权限。 | Write | - | - | - |
coc:alarmRule:put | 授予启停告警规则的权限。 | Write | - | - | - |
coc:alarmRule:delete | 授予删除告警规则的权限。 | Write | - | - | - |
coc:ticket:updateEnumValues | 授予更新单子枚举值的权限。 | Write | - | - | - |
coc:ticket:createEnumValues | 授予创建单子枚举值的权限。 | Write | - | - | - |
coc:ticket:deleteEnumValues | 授予删除单子枚举值的权限。 | Write | - | - | - |
coc:integration:create | 授予创建集成配置的权限。 | Write | - | - | - |
coc:integration:downloadZabbixTemplate | 授予下载告警源zabbix模板的权限。 | Read | - | - | - |
coc:quickSetupConfigurations:create | 授予权限实现全局云服务配置场景快速配置。 | Write | - | - | |
coc::updateServiceConfigTask | 授予云服务配置任务修改权限。 | Write | - | - | coc:serviceConfigTask:update |
coc::listServiceConfigTask | 授予云服务配置任务查询权限。 | List | - | - | coc:serviceConfigTask:list |
coc:instance:deleteResourceTags | 授予删除资源标签的权限。 | Write | - | - | - |
coc::getBiSubscription | 授予权限查询BI订阅记录数据。 | Read | - | - | coc:biSubscription:get |
coc::listBiSubscription | 授予权限查询BI订阅记录列表数据。 | List | - | - | coc:biSubscription:list |
coc::listBiSubscriptionHistory | 授予权限查询BI订阅历史记录列表数据。 | List | - | - | coc:biSubscriptionHistory:list |
coc::createBiSubscription | 授予创建BI订阅记录数据。 | Write | - | - | coc:biSubscription:create |
coc::deleteBiSubscription | 授予权限删除BI订阅记录数据。 | Write | - | - | coc:biSubscription:delete |
coc::updateBiSubscription | 授予权限更新BI订阅记录数据。 | Write | - | - | coc:biSubscription:update |
coc:assessTask:list | 授予查询评估任务列表的权限。 | List | - | - | - |
coc:assessTask:create | 授予创建评估任务的权限。 | Write | - | - | |
coc:assessTask:delete | 授予删除评估任务的权限。 | Write | - | - | - |
coc:assessTask:countByStatus | 授予根据状态查询评估任务数量的权限。 | Read | - | - | - |
coc:assessTask:countReports | 授予查看评估任务的评估报告数量的权限。 | Read | - | - | - |
coc:assessTask:countDistributions | 授予查看评估任务分布信息的权限。 | Read | - | - | - |
coc:assessReport:delete | 授予删除评估报告的权限。 | Write | - | - | - |
coc:assessReport:create | 授予创建评估报告的权限。 | Write | - | - | - |
coc:assessReport:get | 授予查询评估报告详情的权限。 | Read | - | - | - |
coc:assessReport:updateItemStatus | 授予修改评估报告评估项状态的权限。 | Write | - | - | - |
coc:assessReport:list | 授予查询评估报告列表的权限。 | List | - | - | - |
coc:product:list | 授予最终用户查询产品列表权限。 | List | - | - | - |
coc:product:get | 授予最终用户查询产品详情权限。 | Read | product * | - | - |
coc:product:search | 授予管理员查询产品列表权限。 | List | - | - | - |
coc:product:show | 授予管理员查询产品详情权限。 | Read | product * | - | - |
coc:product:create | 授予创建产品权限。 | Write | product * | - | - |
coc:product:update | 授予更新产品权限。 | Write | product * | - | - |
coc:product:delete | 授予删除产品权限。 | Write | product * | - | - |
coc:product:listVersions | 授予查询产品版本列表权限。 | List | - | - | - |
coc:product:getVersion | 授予查询产品版本详情权限。 | Read | product * | - | - |
coc:product:createVersion | 授予创建产品版本权限。 | Write | product * | - | - |
coc:product:updateVersion | 授予更新产品版本权限。 | Write | product * | - | - |
coc:product:deleteVersion | 授予删除产品版本权限。 | Write | product * | - | - |
coc:portfolio:search | 授予查询产品组合列表权限。 | List | - | - | - |
coc:portfolio:show | 授予查询产品组合详情权限。 | Read | portfolio * | - | - |
coc:portfolio:create | 授予创建产品组合权限。 | Write | portfolio * | - | - |
coc:portfolio:update | 授予更新产品组合权限。 | Write | portfolio * | - | - |
coc:portfolio:delete | 授予删除产品组合权限。 | Write | portfolio * | - | - |
coc:portfolio:searchProductsForPortfolio | 授予查询产品组合与产品的关系列表权限。 | List | - | - | - |
coc:portfolio:associateProduct | 授予创建产品组合与产品的关系权限。 | Write | portfolio * | - | - |
coc:portfolio:disassociateProduct | 授予删除产品组合与产品的关系权限。 | Write | portfolio * | - | - |
coc:portfolio:searchPrincipals | 授予查询产品组合授权列表权限。 | List | - | - | - |
coc:portfolio:associatePrincipal | 授予新增产品组合授权权限。 | Write | portfolio * | - | - |
coc:portfolio:disassociatePrincipal | 授予删除产品组合授权权限。 | Write | portfolio * | - | - |
coc:provisionedProduct:list | 授予查询产品实例列表权限。 | List | - | - | - |
coc:provisionedProduct:get | 授予查询产品实例详情权限。 | Read | provisionedProduct * | - | - |
coc:provisionedProduct:listEvents | 授予查询产品实例事件资源栈事件权限。 | List | provisionedProduct * | - | - |
coc:provisionedProduct:listResources | 授予查询产品实例资源栈资源权限。 | List | provisionedProduct * | - | - |
coc:provisionedProduct:create | 授予创建产品实例权限。 | Write | provisionedProduct * | - | - |
coc:provisionedProduct:delete | 授予删除产品实例权限。 | Write | provisionedProduct * | - | - |
coc::getServiceCatalogRole | 授予校验服务目录用户角色权限。 | Read | - | - | coc:system:getServiceCatalogRole |
coc::listQuickSetupConfiguration | 授予快速获取配置任务列表权限。 | List | - | - | coc:system:listQuickSetupConfiguration |
coc::getQuickSetupConfiguration | 授予快速获取配置任务详情权限。 | Read | - | - | coc:system:getQuickSetupConfiguration |
coc::createQuickSetupConfiguration | 授予快速配置任务创建权限。 | Write | - | - | coc:system:createQuickSetupConfiguration |
coc::listQuickSetupConfigurationTasks | 授予快速获取任务的子任务列表权限。 | List | - | - | coc:system:listQuickSetupConfigurationTasks |
coc::createNotificationGroup | 授予添加通知群组的权限。 | Write | - | - | coc:system:createNotificationGroup |
coc::updateNotificationGroup | 授予更新通知群组的权限。 | Write | - | - | coc:system:updateNotificationGroup |
coc::deleteNotificationGroup | 授予删除通知群组的权限。 | Write | - | - | coc:system:deleteNotificationGroup |
coc::listNotificationGroup | 授予查询通知群组的权限。 | List | - | - | coc:system:listNotificationGroup |
coc::subscribeNotificationGroup | 授予订阅通知群组的权限。 | Write | - | - | coc:system:subscribeNotificationGroup |
coc:product:createConstraint | 授予创建约束的权限。 | Write | product * | - | coc:system:subscribeNotificationGroup |
coc:product:deleteConstraint | 授予删除约束的权限。 | Write | product * | - | coc:system:subscribeNotificationGroup |
coc:product:updateConstraint | 授予更新约束的权限。 | Write | product * | - | coc:system:subscribeNotificationGroup |
coc:product:getConstraint | 授予查询约束详情的权限。 | Read | product * | - | coc:system:subscribeNotificationGroup |
coc:product:listConstraint | 授予查询约束列表的权限。 | List | - | - | - |
coc::getOSUpgradePath | 授予根据租户升级路径确定升级的配置信息的权限。 | Read | - | - | coc:system:getOSUpgradePath |
coc::getOSCustomScriptRuntimeParams | 授予获取租户在操作系统升级、回退作业中设置的自定义脚本配置信息的权限。 | Read | - | - | coc:system:getOSCustomScriptRuntimeParams |
coc::updateOSCustomScriptRuntimeParams | 授予修改租户在操作系统升级、回退作业中设置的自定义脚本配置信息的权限。 | Write | - | - | coc:system:updateOSCustomScriptRuntimeParams |
coc:vm:upgradeOsVersion | 授予升级操作系统版本的权限。 | Write | instance | coc:system:updateOSCustomScriptRuntimeParams | |
vm | - | ||||
coc:vm:rollbackOsVersion | 授予回退操作系统版本的权限。 | Write | instance | coc:system:updateOSCustomScriptRuntimeParams | |
vm | - | ||||
coc:sloBasicData:list | 授予查询基础数据列表的权限。 | List | - | - | - |
coc:sloBasicData:create | 授予新增基础数据的权限。 | Write | - | - | - |
coc:sloBasicData:update | 授予修改基础数据信息的权限。 | Write | - | - | - |
coc:sloBasicData:delete | 授予删除基础数据信息的权限。 | Write | - | - | - |
coc:sloDiagram:get | 授予查询框图详情的权限。 | Read | sloDiagram * | - | |
coc:sloDiagram:create | 授予创建框图的权限。 | Write | - | - | |
coc:sloDiagram:list | 授予查询框图列表的权限。 | List | - | - | - |
coc:sloDiagram:update | 授予修改框图的权限。 | Write | sloDiagram * | - | |
coc:sloDiagram:delete | 授予删除框图的权限。 | Write | sloDiagram * | - | |
coc::getTopology | 授予查询拓扑详情的权限。 | Read | - | - | coc:system:getTopology |
coc::getTopologyDimension | 授予查询拓扑维度详情的权限。 | Read | - | - | coc:system:getTopologyDimension |
coc::getTopologyVertexDetails | 授予查询点历史指标的权限。 | Read | - | - | coc:system:getTopologyVertexDetails |
coc::getTopologyEdgeDetails | 授予查询边历史指标的权限。 | Read | - | - | coc:system:getTopologyEdgeDetails |
coc::listTopologyConfigurations | 授予查询拓扑配置的权限。 | List | - | - | coc:system:listTopologyConfigurations |
coc::createTopologyConfigurations | 授予创建拓扑配置的权限。 | Write | - | - | coc:system:createTopologyConfigurations |
coc::updateTopologyConfigurations | 授予更新拓扑配置的权限。 | Write | - | - | coc:system:updateTopologyConfigurations |
coc::listCrossAccountEnterpriseProjects | 授予查询跨账号场景下指定租户企业项目列表的权限。 | List | - | - | coc:system:listCrossAccountEnterpriseProjects |
coc::getUserIdentity | 授予查询登录用户身份的权限。 | Read | - | - | coc:system:getUserIdentit |
coc:template:list | 授予查询模板列表的权限。 | List | - | - | - |
coc:template:get | 授予查询模板详情的权限。 | Read | template * | - | - |
coc:template:create | 授予创建模板的权限。 | Write | - | - | - |
coc:template:update | 授予更新模板的权限。 | Write | template * | - | - |
coc:template:delete | 授予删除模板的权限。 | Write | template * | - | - |
coc:template:listVersions | 授予查询模板版本列表的权限。 | List | - | - | - |
coc:template:getVersion | 授予查询模板版本详情的权限。 | Read | template * | - | - |
coc:template:searchAuthorizations | 授予查询模板授权列表的权限。 | List | - | - | - |
coc:template:createAuthorization | 授予添加模板授权的权限。 | Write | template * | - | - |
coc:template:deleteAuthorization | 授予删除模板授权的权限。 | Write | template * | - | - |
coc:template:listConstraint | 授予查询模板约束列表的权限。 | List | - | - | - |
coc:template:createConstraint | 授予创建模板约束的权限。 | Write | template * | - | - |
coc:template:updateConstraint | 授予更新模板约束的权限。 | Write | template * | - | - |
coc:template:deleteConstraint | 授予删除模板约束的权限。 | Write | template * | - | - |
coc:templateInstance:create | 授予创建模板实例的权限。 | Write | - | - | - |
coc:templateInstance:list | 授予查询模板实例列表的权限。 | List | - | - | - |
coc:templateInstance:get | 授予查询模板实例详情的权限。 | Read | templateInstance * | - | - |
coc:templateInstance:listEvents | 授予查询模板实例事件列表的权限。 | List | templateInstance * | - | - |
coc:templateInstance:listResources | 授予查询模板实例资源列表的权限。 | List | templateInstance * | - | - |
coc:templateInstance:delete | 授予删除模板实例的权限。 | Write | templateInstance * | - | - |
coc:templateInstance:createRetry | 授予创建模板实例重试的权限。 | Write | - | - | - |
coc::getBiBackboneNetworkTopo | 授予权限查询BI主干网络拓扑图。 | Read | - | - | coc:system:getBiBackboneNetworkTopo |
coc::updateBiBackboneNetworkTopo | 授予权限修改BI主干网络拓扑图。 | Write | - | - | coc:system:updateBiBackboneNetworkTopo |
coc::getBiBackboneNetworkTraffic | 授予权限获取主干网络流量数据。 | Read | - | - | coc:system:getBiBackboneNetworkTraffic |
coc::refreshBiBackboneNetworkTopo | 授予权限刷新主干网络拓扑结构。 | Write | - | - | coc:system:refreshBiBackboneNetworkTopo |
coc::getBiBackboneNetworkMetrics | 授予权限获取主干网络带宽数据。 | Read | - | - | coc:system:getBiBackboneNetworkMetrics |
coc::getBiScreenConfig | 授予权限获取BI大屏配置参数。 | Read | - | - | coc:system:getBiScreenConfig |
coc::updateBiScreenConfig | 授予权限修改BI大屏配置。 | Write | - | - | coc:system:updateBiScreenConfig |
coc::getBiResourceAlarmResourceInfos | 授予权限获取资源告警大屏的资源类信息。 | Read | - | - | coc:system:getBiResourceAlarmResourceInfos |
coc::getBiResourceAlarmAlarmInfos | 授予权限获取资源告警大屏的告警类信息。 | Read | - | - | coc:system:getBiResourceAlarmAlarmInfos |
coc::createAlarmFilterTemplate | 授予创建原始告警筛选模板的权限。 | Write | - | - | coc:system:createAlarmFilterTemplate |
coc::deleteAlarmFilterTemplate | 授予删除原始告警筛选模板的权限。 | Write | - | - | coc:system:deleteAlarmFilterTemplate |
coc::listAlarmFilterTemplate | 授予查询原始告警筛选模板列表的权限。 | List | - | - | coc:system:listAlarmFilterTemplate |
coc::getResourceTopology | 授予查询资源拓扑详情的权限。 | Read | - | - | coc:system:getResourceTopology |
coc::listConfigurationItem | 授予权限查看配置项列表。 | List | - | - | coc:system:listConfigurationItem |
coc:ciRelationshipBaseline:create | 授予权限创建新的配置项关系基线。 | Write | - | - | - |
coc:ciRelationshipBaseline:delete | 授予权限删除已存在的配置项关系基线。 | Write | ciRelationshipBaseline * | - | - |
coc:ciRelationshipBaseline:get | 授予权限查看配置项关系基线详情。 | Read | ciRelationshipBaseline * | - | - |
coc:ciRelationshipBaseline:list | 授予权限查看配置项关系基线列表。 | List | - | - | - |
coc:ciRelationshipBaseline:update | 授予权限更新已存在的配置项关系基线。 | Write | ciRelationshipBaseline * | - | - |
COC的API通常对应着一个或多个授权项。表2展示了API与授权项的关系,以及该API需要依赖的授权项。
API | 对应的授权项 | 依赖的授权项 |
|---|---|---|
GET /v1/resources/count | coc:instance:countResources | - |
GET /v1/applications | coc:application:list | - |
POST /v1/applications | coc:application:create | - |
PUT /v1/applications/{id} | coc:application:update | - |
DELETE /v1/applications/{id} | coc:application:delete | - |
POST /v1/groups | coc:application:createGroup | - |
GET /v1/groups | coc:application:listGroups | - |
PUT /v1/groups/{id} | coc:application:updateGroup | - |
DELETE /v1/groups/{id} | coc:application:deleteGroup | - |
POST /v1/groups/{id}/sync | coc:application:syncGroupResource | - |
PUT /v1/group-resource-relations | coc:application:updateResources | - |
POST /v1/group-resource-relations | coc:application:addResources | - |
DELETE /v1/group-resource-relations | coc:application:removeResources | - |
GET /v1/group-resource-relations | coc:application:listResources | - |
GET /v1/group-resource-relations/count | coc:application:countResourceRelations | - |
POST /v1/other-resources/import | coc:instance:syncResources | - |
POST /v1/components | coc:application:create | - |
GET /v1/components | coc:application:list | - |
PUT /v1/components/{id} | coc:application:update | - |
DELETE /v1/components/{id} | coc:application:delete | - |
GET /v1/application-view/search | coc:application:list | - |
POST /v1/capacity | coc:application:getCapacity | - |
GET /v1/capacity/order | coc:application:getSortedCapacity | - |
POST /v1/vendor-account | coc:vendorAccount:create | - |
GET /v1/vendor-account | coc:vendorAccount:list | - |
PUT /v1/vendor-account | coc:vendorAccount:update | - |
DELETE /v1/vendor-account | coc:vendorAccount:delete | - |
GET /v1/multicloud-resources/count | coc:instance:countResources | - |
POST /v1/multicloud-resources/sync | coc:instance:syncResources | - |
GET /v1/resource/views | coc:resourceView:list | - |
POST /v1/resource/views | coc:resourceView:create | - |
PUT /v1/resource/views/{id} | coc:resourceView:update | - |
DELETE /v1/resource/views/{id} | coc:resourceView:delete | - |
POST /v1/resource/views/{id}/sync | coc:resourceView:syncResources | - |
GET /v1/resource/views/resources | coc:resourceView:listResources | - |
GET /v1/resource/views/resources/count | coc:resourceView:countResources | - |
GET /v1/other-resources | coc:instance:listResources | - |
DELETE /v1/other-resources | coc:instance:syncResources | - |
PUT /v1/other-resources/{id} | coc:instance:syncResources | - |
GET /v1/other-resources/count | coc:instance:countOtherResources | - |
GET /v1/resources/{resource_id}/tags | coc:instance:listTagsForResource | - |
POST /v1/resources/{resource_id}/tags | coc:instance:addResourceToTags | - |
POST /v1/resources/uniagent/sync | coc:instance:syncResources | - |
POST /v1/other-resources/uniagent/sync | coc:instance:syncResources | - |
GET /v1/enterprise-project-collect | coc::listEpsCollection | - |
PUT /v1/enterprise-project-collect | coc::updateEpsCollection | - |
GET /v1/multicloud-resources/last-sync-status | coc::getLastSyncStatus | - |
GET /v1/jobs/{job_id} | coc::getResourceSyncJobDetail | - |
GET /v1/multicloud-resources | coc:instance:listResources | - |
GET /v1/application-model/next | coc:application:listModel | - |
POST /v1/application-view/batch-create | coc:application:create | - |
GET /v1/resources | coc:instance:listResources | - |
GET /v1/resources/multi-count | coc:instance:countResources | - |
POST /v1/schedule/task | coc:schedule:create | iam:agencies:pass (授予向云服务传递委托的权限) |
GET /v1/schedule/task | coc:schedule:list | - |
PUT /v1/schedule/task/{task_id} | coc:schedule:update | iam:agencies:pass (授予向云服务传递委托的权限) |
GET /v1/schedule/task/{task_id} | coc:schedule:get | - |
DELETE /v1/schedule/task/{task_id} | coc:schedule:delete | - |
POST /v1/schedule/task/{task_id}/enable | coc:schedule:enable | - |
POST /v1/schedule/task/{task_id}/disable | coc:schedule:disable | - |
GET /v1/schedule/task/history | coc:schedule:getHistories | - |
POST /v1/alarm-mgmt/alarm/{alarm_id}/auto-process | coc:instance:executeDocument | - |
POST /v1/alarm-mgmt/alarms/cancel | coc:alarm:clear | - |
POST /v1/alarm-mgmt/alarms-linked-incident | coc:alarm:createAlarmLinkedIncident | - |
GET /v1/alarm-mgmt/alarm/{alarm_id}/handle-histories | coc:alarm:listHandleHistories | - |
GET /v1/alarm-mgmt/alarm/{alarm_id} | coc:alarm:get | - |
POST /v2/incidents/{incident_id}/actions | coc:ticket:action | - |
POST /v2/incidents/list | coc:ticket:list | - |
POST /v2/incidents/{incident_id}/histories | coc:ticket:getOperationHistories | - |
GET /v2/incidents/{incident_id}/tasks | coc:ticket:listActions | - |
POST /v1/external/incident/create | coc:ticket:create | - |
POST /v1/external/incident/attachments | coc:ticket:uploadFile | - |
POST /v1/external/incident/handle | coc:ticket:action | - |
POST /v1/external/{ticket_type}/list-histories | coc:ticket:getOperationHistories | - |
POST /v1/external/list/authorizable-tickets | coc:ticket:listAuthorizable | - |
GET /v1/incident-tickets | coc:ticket:list | - |
GET /v1/external/incident/{incident_num} | coc:ticket:get | - |
POST /v1/external/issues/create | coc:ticket:create | - |
GET /v1/external/issues/{ticket_id} | coc:ticket:get | - |
POST /v1/external/warrooms | coc:warroom:create | - |
POST /v1/external/warrooms/list | coc:warroom:list | - |
POST /v1/instances/batches | coc:instance:autoBatchInstances | - |
POST /v1/job/analyze-job | coc:document:analyzeRisk | - |
POST /v1/job/scripts/{script_uuid} | coc:instance:executeDocument | - |
POST /v1/job/public-scripts/{script_uuid} | coc:instance:executeDocument | - |
GET /v1/job/scripts | coc:document:list | - |
GET /v1/job/scripts/{script_uuid} | coc:document:get | - |
POST /v1/job/scripts | coc:document:create | - |
PUT /v1/job/scripts/{script_uuid} | coc:document:update | - |
DELETE /v1/job/scripts/{script_uuid} | coc:document:delete | - |
POST /v1/job/scripts/{script_uuid}/action | coc:document:update | - |
GET /v1/job/public-scripts | coc:document:list | - |
GET /v1/job/public-scripts/{script_uuid} | coc:document:get | - |
GET /v1/job/script/orders | coc:job:list | - |
GET /v1/job/script/orders/{execute_uuid} | coc:job:get | - |
GET /v1/job/script/orders/{execute_uuid}/batches/{batch_index} | coc:job:get | - |
GET /v1/job/script/orders/{execute_uuid}/batches | coc:job:get | - |
GET /v1/job/script/orders/{execute_uuid}/statistics | coc:job:get | - |
PUT /v1/job/script/orders/{execute_uuid}/operation | coc:job:action | - |
GET /v1/documents | coc:document:createDocument | - |
POST /v1/documents | coc:document:listDocument | - |
GET /v1/atomics | coc:documentAtomic:list | - |
GET /v1/atomics/{atomic_unique_key} | coc:documentAtomic:get | - |
PUT /v1/documents/{document_id} | coc:document:updateDocument | - |
POST /v1/documents/{document_id} | coc:document:execute | - |
GET /v1/documents/{document_id} | coc:document:getDocument | - |
DELETE /v1/documents/{document_id} | coc:document:deleteDocument | - |
GET /v1/executions/{execution_id} | coc:execution:get | - |
GET /v1/executions/{execution_id}/steps | coc:execution:listExecutionStep | - |
GET /v1/executions | coc:execution:list | - |
GET /v1/executions/instances | coc:execution:listExecutionStepInstance | - |
POST /v1/executions | coc:execution:operate | - |
GET /v1/diagnosis/tasks | coc:job:list | - |
POST /v1/diagnosis/tasks | coc:job:action | aom:uniagentAgent:install aom:uniagentAgent:uninstall dcs:instance:createDiagnosisTask dcs:instance:listDiagnosisTask dms:instance:getDetail dms:instance:getDiagnosisReport dms:instance:createDiagnosisTask dms:instance:listDiagnosisReport elb:members:show rds:instance:listAll |
GET /v1/diagnosis/tasks/{task_id}/node/{code} | coc:job:get | - |
GET /v1/diagnosis/tasks/{task_id} | coc:job:get | - |
POST /v1/diagnosis/tasks/{task_id}/retry | coc:job:action | aom:uniagentAgent:install aom:uniagentAgent:uninstall dcs:instance:createDiagnosisTask dcs:instance:listDiagnosisTask dms:instance:getDetail dms:instance:getDiagnosisReport dms:instance:createDiagnosisTask dms:instance:listDiagnosisReport elb:members:show rds:instance:listAll |
POST /v1/diagnosis/tasks/{task_id}/cancel | coc:job:action | - |
GET /v1/diagnosis/tasks/{task_id}/summary | coc:job:action | - |
GET /v1/patch/instance/compliant | coc:complianceReport:list | - |
GET /v1/patch/instance/compliant/{instance_compliant_id} | coc:complianceReport:get | - |
资源类型(Resource)
资源类型(Resource)表示身份策略所作用的资源。如表3中的某些操作指定了可以在该操作指定的资源类型,则必须在具有该操作的策略语句中指定该资源的URN,策略仅作用于此资源;如未指定,Resource默认为“*”,则策略将应用到所有资源。您也可以在策略中设置条件,从而指定资源类型。
COC定义了以下可以在策略的Resource元素中使用的资源类型。
资源类型 | URN |
|---|---|
instance |
|
document | coc::<account-id>:document:<document-name> |
application | coc::<account-id>:application:<application-code> |
resourceView | coc::<account-id>:resourceView:<resourceViewId> |
schedule | coc::<account-id>:schedule:<schedule-id> |
job | coc::<account-id>:job:<job-id> |
faultMode | coc::<account-id>:faultMode:<fault-mode-id> |
contingencyPlan | coc::<account-id>:contingencyPlan:<contingency-plan-id> |
attackTask | coc::<account-id>:attackTask:<attack-task-name> |
attackRecord | coc::<account-id>:attackRecord:<attack-record-id> |
drillTask | coc::<account-id>:drillTask:<drill-task-id> |
attackTargetRecord | coc::<account-id>:attackTargetRecord:<attack-target-record-id> |
drillRecord | coc::<account-id>:drillRecord:<drill-record-id> |
drillPlan | coc::<account-id>:drillPlan:<drill-plan-id> |
slaTemplate | coc::<account-id>:slaTemplate:<sla_template-id> |
parameter | coc:<region>:<account-id>:parameter:<parameter-name> |
accountBaseline | coc::<account-id>:accountBaseline:<account_baseline_id> |
provisionedProduct | coc::<account-id>:provisionedProduct:<provisioned-product-id> |
product | coc::<account-id>:product:<product-id> |
portfolio | coc::<account-id>:portfolio:<portfolio-id> |
sloDiagram | coc::<account-id>:sloDiagram:<diagram-id> |
template | coc::<account-id>:template:<template-id> |
templateInstance | coc::<account-id>:templateInstance:<template-instance-id> |
vm | coc::<account-id>:vm:<supplier>/<resource-id> |
ciRelationshipBaseline | coc::<account-id>:ciRelationshipBaseline:<template-instance-id> |
条件(Condition)
条件(Condition)是身份策略生效的特定条件,包括条件键和运算符。
- 条件键表示身份策略语句的Condition元素中的键值。根据适用范围,分为全局级条件键和服务级条件键。
- 全局级条件键(前缀为g:)适用于所有操作,在鉴权过程中,云服务不需要提供用户身份信息,系统将自动获取并鉴权。详情请参见:全局条件键。
- 服务级条件键(前缀通常为服务缩写,如coc:)仅适用于对应服务的操作,详情请参见表4。
- 单值/多值表示API调用时请求中与条件关联的值数。单值条件键在API调用时的请求中最多包含一个值,多值条件键在API调用时请求可以包含多个值。例如:g:SourceVpce是单值条件键,表示仅允许通过某个VPC终端节点发起请求访问某资源,一个请求最多包含一个VPC终端节点ID值。g:TagKeys是多值条件键,表示请求中携带的所有标签的key组成的列表,当用户在调用API请求时传入标签可以传入多个值。
- 运算符与条件键、条件值一起构成完整的条件判断语句,当请求信息满足该条件时,身份策略才能生效。支持的运算符请参见:运算符。
COC定义了以下可以在身份策略的Condition元素中使用的条件键,您可以使用这些条件键进一步细化身份策略语句应用的条件。
服务级条件键 | 类型 | 单值/多值 | 说明 |
|---|---|---|---|
coc:TicketLevel | String | 单值 | 根据请求参数中的工单级别进行过滤访问。 |
coc:TicketCurrentHandlers | String | 多值 | 根据请求参数中的工单操作人进行过滤访问。 |
coc:TicketStatus | String | 单值 | 根据请求参数中的工单状态进行过滤访问。 |
coc:TicketType | String | 单值 | 根据请求参数中的工单类型进行过滤访问。 |
coc:TicketBeginTime | date | 单值 | 根据请求参数中的工单开始时间进行过滤访问。 |
coc:TicketEndTime | date | 单值 | 根据请求参数中的工单结束时间进行过滤访问。 |
coc:OperatorName | String | 单值 | 根据请求参数中的操作人进行过滤访问。 |
coc:RequestTarget | String | 单值 | 根据请求参数中的提权应用进行过滤访问。 |
coc:TicketTarget | String | 多值 | 根据请求参数中的工单应用进行过滤访问。 |
coc:TicketScope | String | 多值 | 根据请求参数中的工单的范围进行过滤访问。 |
coc:RequestScope | String | 单值 | 根据请求参数中的提权范围进行过滤访问。 |
coc:EscapeSwitchIsEnabled | boolean | 单值 | 根据请求参数中的逃生开关进行过滤访问。 |
coc:Creator | String | 单值 | 根据COC中的资源的创建人过滤访问。 |
coc:Executor | String | 单值 | 根据COC中的工单指定的执行人过滤访问。 |
coc:DocumentRiskLevel | String | 单值 | 根据请求参数中指定的文档风险等级过滤访问。 |
coc:JobType | String | 单值 | 根据请求参数中指定的工单类型过滤访问。 |
coc:ApplicationCode | String | 多值 | 根据请求参数中指定的应用编码过滤访问。 |
coc:ApplicationGroupCode | String | 单值 | 根据请求参数中指定的应用分组编码过滤访问。 |
coc:AttackTargetType | String | 单值 | 根据请求参数中攻击目标的类型进行过滤访问。 |
coc:QuickSetupType | String | 单值 | 根据请求参数中请求配置类型进行过滤访问。 |
