更新时间:2024-11-01 GMT+08:00
分享

GES系统策略

表1 GES系统策略

策略名称

描述

GES FullAccess

图引擎服务管理员权限,拥有该权限的用户拥有图引擎服务的全部权限,包括创建、删除、访问、升级等操作。

说明:
  • 拥有该权限的用户需要同时拥有Tenant Guest、Server Administrator、VPC Administrator权限。
  • 如果需要绑定/解绑EIP,则还需要拥有Security Administrator角色用于创建委托。Security Administrator角色权限较大,可以使用如下自定义策略替代:"iam:permissions:listRolesForAgencyOnD",iam:permissions:listRolesForAgency","iam:roles:listRoles","iam:permissions:listRolesForAgencyOnProject","iam:agencies:listAgencies","iam:roles:createRole","iam:permissions:grantRoleToAgencyOnDomain","iam:agencies:getAgency","iam:agencies:createAgency","iam:roles:updateRole","iam:permissions:grantRoleToAgency","iam:permissions:grantRoleToAgencyOnProject"。
  • 资源操作依赖OBS,需要拥有OBS OperateAccess策略。(OBS是全局服务,对应的OBS策略需要在全局服务下查找)。
  • “企业项目”中配置GES FullAccess时,需要额外在IAM权限中配置如下策略权限:

GES Development

图引擎服务使用权限,拥有该权限的用户可以执行除了创建图、删除图、变更规格、扩副本以外所有操作。

说明:
  • 如果需要绑定/解绑EIP,则还需要拥有Security Administrator角色用于创建委托。Security Administrator角色权限较大,可以使用如下自定义策略替代:"iam:permissions:listRolesForAgencyOnD",iam:permissions:listRolesForAgency","iam:roles:listRoles","iam:permissions:listRolesForAgencyOnProject","iam:agencies:listAgencies","iam:roles:createRole","iam:permissions:grantRoleToAgencyOnDomain","iam:agencies:getAgency","iam:agencies:createAgency","iam:roles:updateRole","iam:permissions:grantRoleToAgency","iam:permissions:grantRoleToAgencyOnProject"。
  • 资源操作依赖OBS,需要拥有OBS OperateAccess策略。(OBS是全局服务,对应的OBS策略需要在全局服务下查找)。

GES ReadOnlyAccess

图引擎服务资源只读权限,拥有该权限的用户只能做一些资源查看类的操作如查看图列表、查看元数据和查看备份等。

说明:

资源操作依赖OBS,需要拥有OBS OperateAccess策略。(OBS是全局服务,对应的OBS策略需要在全局服务下查找)

由于缓存的存在,对用户和用户组授予OBS相关的角色后,大概需要等待13分钟角色才能生效;授予策略后,大概需要等待5分钟策略才能生效。

表2 GES常用操作与系统策略的关系

操作

GES FullAccess

GES Development

GES ReadOnlyAccess

对应资源

查询图列表

-

查看图详情

graphName

创建图

x

x

graphName

访问图

x

graphName

关闭图

x

graphName

启动图

x

graphName

删除图

x

x

graphName

增量导入图

x

graphName

导出图

x

graphName

清空图

x

graphName

升级图

x

graphName

变更规格

x

x

graphName

扩副本图

x

x

graphName

重启图

x

graphName

绑定EIP

x

graphName

解绑EIP

x

graphName

查看所有备份列表

-

查看某个图的备份列表

-

新增备份

x

backupName

删除备份

x

backupName

查询元数据列表

-

查询元数据

metadataName

校验元数据

x

-

新增元数据

x

metadataName

删除元数据

x

metadataName

查询任务状态

-

查询任务列表

-

图细粒度权限配置

x

-

用户组配置

x

-

导入IAM用户

x

-

查看用户详情

-

相关文档