文档首页/ 统一身份认证服务 IAM_统一身份认证服务(新版)/ 用户指南/ 参考/ 支持身份策略与信任委托的云服务列表
更新时间:2025-09-26 GMT+08:00
查看PDF
分享

支持身份策略与信任委托的云服务列表

下面按照云服务名称缩写首字母顺序列出支持身份策略授权与信任委托访问的云服务列表,以及这些云服务所支持的IAM功能:

  • 云服务:云服务名称和缩写。您可以通过搜索云服务名称或缩写查看对应云服务的信息。
  • 服务主体:云服务对应的服务主体标识。用于在信任委托的信任策略中控制信任的云服务主体,以及在g:CalledVia全局条件键中控制跨服务转发访问时经过的服务列表。如果云服务没有服务主体标识,则用“-”表示。
  • 授权项:你可以在身份策略中指定的各种授权项。如果云服务不支持此功能,则在IAM新版控制台自定义身份策略的可视化视图中只能选择所有操作选项,在JSON视图中必须使用云服务:*:*的方式指定Action元素。每个云服务的授权项列表,见身份策略授权参考中各自云服务的操作部分。
  • 资源级权限:您可以在身份策略中指定资源的URN来对资源的访问进行控制。如果云服务不支持这个特性,则在IAM新版控制台自定义身份策略的可视化视图中只能选择所有资源选项,在JSON视图中默认不添加Resource元素。每个云服务支持的资源类型,见身份策略授权参考中各自云服务的资源类型部分。
  • 基于资源的策略:您可以将基于资源的策略附加到云服务中的某项资源。例如IAM的信任策略OBS桶策略均是基于资源的策略。
  • 基于标签的鉴权:要利用标签来进行访问控制,您可以在身份策略的条件元素中使用g:ResourceTag/tag-key、g:RequestTag/tag-key、g:TagKeys这三个条件键来提供标签信息。如果某个云服务对于所有的资源都同时支持这三个条件键,则该云服务在基于标签的鉴权列填写是;如果某个云服务只有部分资源同时支持这三个条件键,则该云服务在基于标签的鉴权列填写部分;如果某个云服务没有任何资源同时支持这三个条件键,则该云服务在基于标签的鉴权列填写否。
  • 临时安全凭证:这里指调用通过IAM委托或者信任委托获取临时安全凭证接口获取的临时安全凭证。如果云服务支持该临时安全凭证,则表示您可以在IAM新版控制台中切换信任委托来访问该云服务,或者调用通过IAM委托或者信任委托获取临时安全凭证接口获取的临时安全凭证来访问该云服务。
  • 云服务信任委托:指您在创建信任委托时信任主体类型选择云服务,这样创建出来的委托称为云服务信任委托,云服务可以使用该委托帮助您执行权限范围内的操作。
  • 服务关联委托:服务关联委托是一种特殊类型的云服务委托,可以授予云服务代表您访问其他云服务一些资源的权限。要查看云服务所支持服务关联委托的详细情况,见系统身份策略
  • 请求区域控制:指云服务是否支持g:RequestedRegion条件键。当请求的目标云服务是区域级服务时,可以在身份策略的条件中设置对应的区域ID以进行控制。
    表1 支持身份策略与信任委托的云服务列表

    云服务

    服务主体

    授权项

    资源级权限

    基于资源的策略

    ABAC(基于标签的鉴权)

    临时安全凭证

    云服务信任委托

    服务关联委托

    请求区域控制

    DDoS高防(AAD)

    service.AAD

    部分

    访问分析(Access Analyzer)

    service.AccessAnalyzer

    部分

    账号中心(Account)

    -

    DDoS原生基础防护(Anti-DDoS)

    -

    应用运维管理(AOM)

    service.AOM

    API网关(APIG)

    service.APIG

    应用性能管理( APM)

    service.APM

    弹性伸缩(AS)

    service.AS

    Astro工作流(AstroFlow)

    service.AstroFlow

    Astro企业应用(AstroPro)

    service.AstroPro

    费用中心(billing)

    service.BILLING

    裸金属服务器(BMS)

    -

    企业中心(Enterprise Center)

    -

    云应用引擎(CAE)

    service.CAE

    云堡垒机(CBH)

    service.CBH

    云备份(CBR)

    service.CBR

    部分

    云连接(CC)

    service.CC

    部分

    云容器引擎(CCE)

    service.CCE

    内容分发网络(CDN)

    service.CDN

    云监控(CES)

    service.CES

    部分

    云防火墙(CFW)

    service.CFW

    部分

    知识库(CodeArts Wiki)

    service.CloudWiki

    DDoS原生高级防护(CNAD)

    service.CNAD

    云运维中心(COC)

    service.COC

    软件开发生产线(CodeArts)

    service.CODEARTS

    效能洞察(CodeArts Board)

    service.CodeArtsBoard

    代码检查(CodeArts Check)

    service.CodeArtsCheck

    开源治理服务(CodeArts Governance)

    service.CodeArtsGovernance

    云端开发环境服务(CodeArts IDE Online)

    service.CodeArtsIDEOnline

    漏洞管理服务(CodeArts Inspector)

    service.CodeArtsInspector

    软件建模(CodeArts Modeling)

    service.CodeArtsModeling

    性能测试(CodeArts PerfTest)

    service.codeartsperftest

    部分

    流水线(CodeArts Pipeline)

    service.CodeArtsPipeline

    成本中心(Cost Center)

    -

    微服务引擎(CSE)

    service.CSE

    数据加密服务(凭据管理服务 CSMS)

    service.CSMS

    云搜索服务(CSS)

    service.CSS

    部分

    云审计服务(CTS)

    service.CTS

    部分

    数据治理中心(DataArts Studio)

    service.DataArtsStudio

    数据库安全服务(DBSS)

    service.DBSS

    部分

    云专线(DC)

    service.DCAAS

    部分

    分布式缓存服务(DCS)

    service.DCS

    部分

    分布式数据库中间件(DDM)

    service.DDM

    部分

    文档数据库服务(DDS)

    service.DDS

    数据加密服务(专属加密服务 DHSM)

    service.DHSM

    部分

    数据湖探索(DLI)

    service.DLI

    部分

    分布式消息服务(DMS)

    service.DMS

    部分

    云解析服务(DNS)

    service.DNS

    部分

    数据复制服务(DRS)

    service.DRS

    数据安全中心(DSC)

    service.DSC

    云数据库 GaussDB(DWS)

    service.DWS

    弹性云服务器(ECS)

    -

    部分

    弹性公网IP(EIP)

    service.EIP

    部分

    弹性负载均衡(ELB)

    service.ELB

    部分

    企业项目(EPS)

    service.EPS

    企业路由器(ER)

    service.ER

    部分

    云硬盘(EVS)

    service.EVS

    部分

    函数工作流(FunctionGraph)

    service.FunctionGraph

    部分

    全球加速(GA)

    service.GA

    部分

    云数据库(GaussDB)

    service.GaussDB

    云数据库 GaussDB(for MySQL)

    service.GaussDBforMySQL

    企业主机安全(HSS)

    service.HSS

    统一身份认证(IAM)

    service.IAM

    部分

    IAM 身份中心

    service.IdentityCenter

    部分

    镜像服务(IMS)

    service.IMS

    设备接入(IoTDA)

    service.IoTDA

    部分

    数据加密服务(密钥管理服务 KMS)

    service.KMS

    部分

    云空间服务(KooDrive)

    service.KooDrive

    数据加密服务(密钥对管理服务 KPS)

    service.KPS

    键值存储服务(KVS)

    service.KVS

    云日志服务(LTS)

    service.LTS

    部分

    云商店(KooGallary)

    service.Marketplace

    消息中心(Message Center)

    -

    MapReduce服务(MRS)

    service.MRS

    NAT网关(NAT)

    service.NAT

    部分

    对象存储服务(OBS)

    service.OBS

    对象存储迁移服务(OMS)

    service.OMS

    组织(Organizations)

    service.Organizations

    部分

    私有证书管理(PCA)

    service.PCA

    资源访问管理(RAM)

    service.RAM

    部分

    云数据库(RDS)

    service.RDS

    部分

    资源编排服务(RFS)

    service.RF

    service.RFStackSets

    service.RFStackSetsOrgMember

    资源治理中心(RGC)

    service.RGC

    配置审计(Config)

    service.RMSMultiAccountSetup

    service.RMSConforms

    service.RMSRemediation

    部分

    SSL证书管理(SCM)

    service.SCM

    安全云脑(SecMaster)

    service.SecMaster

    部分

    应用管理与运维平台(ServiceStage)

    service.ServiceStage

    部分

    高性能弹性文件服务(SFS Turbo)

    service.SFSTurbo

    消息通知服务(SMN)

    service.SMN

    部分

    主机迁移服务(SMS)

    service.SMS

    安全令牌服务(STS)

    -

    部分

    容器镜像服务(SWR)

    service.swr

    部分

    标签管理服务(TMS)

    service.TMS

    虚拟私有云(VPC)

    service.VPC

    部分

    VPC终端节点(VPCEP)

    service.VPCEP

    Web应用防火墙(WAF)

    service.WAF

    部分

    云桌面(Workspace)

    service.Workspace

    部分

    其中,资源编排服务(RFS)和配置审计服务(Config)有多个服务主体。

    在资源编排服务(RFS)中:

    • service.RF用于跨服务转发访问时以及代入云服务委托后通过用户模板中定义的云服务创建、更新或删除相应云服务资源。
    • service.RFStackSets用于代入云服务委托后通过Organizations查询组织单元、成员信息或组织管理员通过IAM获取成员账号的信任委托临时凭据。
    • service.RFStackSetsOrgMember用于代入云服务委托后通过IAM创建用于在资源栈集服务管理场景下各组织成员账号的信任委托以及为信任委托添加策略。

    在配置审计服务(Config)中:

    • service.RMSMultiAccountSetup用于跨服务转发访问时通过IAM创建用于组织合规规则和组织合规规则包创建或更新场景的服务关联委托,以及代入云服务委托后通过SMN发送资源变更通知或通过OBS转储资源快照。
    • service.RMSConforms用于跨服务转发访问时通过IAM创建用于合规规则包创建或更新场景的服务关联委托。
    • service.RMSRemediation用于跨服务转发访问时通过IAM创建用于合规修正配置创建或更新场景的服务关联委托。
父主题: 参考

相关文档